Поделиться
Найден способ сделать бесполезными все iPhone и iPad
Злоупотребление функцией AirDrop позволяет фактически заблокировать использование устройств под iOS с помощью бесконечных запросов на соединение. Apple реализовала возможность заблокировать подобные атаки.
Окна невозможности
Apple внесла изменения в свои операционные системы, чтобы защитить пользователей смартфонов и планшетов под iOS от атаки, делающей использование этих устройств практически невозможным.
Атака AirDoS заключалась в том, чтобы «бесконечно заспамливать» целевые устройства всплывающим сообщением (popup) с запросом на подключение AirDrop. Атака работает и на macOS, но там всплывающее окно хотя бы не блокирует остальной интерфейс.
Функция AirDrop позволяет владельцам iPhone, iPad, Mac и iPod обмениваться фотографиями, документами, точками на карте и прочими тиипами данных и файлов с другими устройствами через Bluetooth или подключения по Wi-Fi.
Эксперт по безопасности Кишан Багария (Kishan Bagaria) обнаружил, что существует возможность заставить устройства под iOS и iPadOS бесконечно выводить всплывающее сообщение AirDrop, тем самым блокируя остальной пользовательский интерфейс смартфона. Вне зависимости от того, сколько раз пользователь нажмет кнопки «принять» или «отклонить», сообщение будет выводиться снова и снова.
Пробный эксплойт Багариа опубликовал на своем сайте. Apple выпустила обновления для своих операционных систем (iOS 13.3, iPadOS 13.3, macOS 10.15.2), позволяющие нейтрализовать атаку: после трех нажатий кнопки «отклонить» все дальнейшие запросы AirDrop от одного и того же устройства будут отклоняться по умолчанию.
Условия срабатывания
Атака сработает только в том случае, если в настройках указана возможность получать данные от всех, а не только от личных контактов; и, естественно, если включены модули связи Bluetooth или Wi-Fi.
Для прекращения атаки потребуется оказаться на таком расстоянии от атакующего устройства, чтобы выйти из диапазона действия Bluetooth и/или Wi-Fi. Помимо этого, если включена служба Siri, можно дать голосовую команду на отключение беспроводных соединений; атака прекратится.
«В общем и целом, речь идет даже не об уязвимости как таковой, а об использовании определенной функции в качестве уязвимости, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Злоупотребление даже самыми удобными инструментами может превратить их в источник проблем. Пользователям устройств под iOS стоит сразу же ограничивать возможности для поступления AirDrop-запросов — в том, чтобы получать их от совершенно посторонних лиц или устройств, нет особого смысла».
Короткая ссылка
