darask
New member
Специалист по компьютерной безопасности Кишан Багария (Kishan Bagaria) проблему в функции AirDrop на iPhone. Эта функция даёт возможность владельцам устройств пересылать файлы между iOS-устройствами.
Проэксплуатировав уязвимость, можно много раз подряд отсылать файлы в определённом радиусе на все iPhone, где разрешён приём файлов от других телефонов.
Когда файл получен, в iOS блокируется экран телефона, чтобы пользователь выбрал, разрешить или отменить передачу файла. Но так как в iOS нет лимита на число таких запросов, то злоумышленник способен непрерывно спамить файлами, заблокировав таким образом телефон.
Исследователь также PoC-код для этой уязвимости в репозитории на GitHub.
Также исследователь безопасности сообщил, что для того, чтобы прервать такую атаку, можно, к примеру, покинуть область работы атакующего устройства, либо выключить AirDrop, Wi-Fi и Bluetooth.
Выключить функцию Airdrop также возможно, перезагрузив устройство. Чтобы избежать таких атак, специалист посоветовал активировать AirDrop лишь по необходимости и никогда не выбирать для неё опцию «Все», которая разрешит принимать файлы от всех iPhone.
Специалист оповестил о своей находке компанию Apple в конце лета этого года, и она устранила уязвимость начиная с версии iOS 13.3, добавив лимит количества запросов.
Проэксплуатировав уязвимость, можно много раз подряд отсылать файлы в определённом радиусе на все iPhone, где разрешён приём файлов от других телефонов.
Когда файл получен, в iOS блокируется экран телефона, чтобы пользователь выбрал, разрешить или отменить передачу файла. Но так как в iOS нет лимита на число таких запросов, то злоумышленник способен непрерывно спамить файлами, заблокировав таким образом телефон.
Исследователь также PoC-код для этой уязвимости в репозитории на GitHub.
Также исследователь безопасности сообщил, что для того, чтобы прервать такую атаку, можно, к примеру, покинуть область работы атакующего устройства, либо выключить AirDrop, Wi-Fi и Bluetooth.
Выключить функцию Airdrop также возможно, перезагрузив устройство. Чтобы избежать таких атак, специалист посоветовал активировать AirDrop лишь по необходимости и никогда не выбирать для неё опцию «Все», которая разрешит принимать файлы от всех iPhone.
Специалист оповестил о своей находке компанию Apple в конце лета этого года, и она устранила уязвимость начиная с версии iOS 13.3, добавив лимит количества запросов.