| 10 дек 2019 — 13:06 по тихоокеанскому времени
Сегодня Apple выпустила iOS 13.3 и iPadOS 13.3 для широкой публики. Помимо новых функций и опций настройки, которые мы подробно описали ранее, обновление также включает важное исправление безопасности для уязвимости AirDrop, которая позволяла злоумышленнику «удаленно вывести из строя любой находящийся поблизости iPhone или iPad».
Уязвимость была обнаружена Кишаном Багарией, который сообщил о ней Apple в августе. Apple признала, что работает над исправлением уязвимости в ноябре, и попросила Багарию не раскрывать проблему до выпуска iOS 13.3 для широкой публики.
Рассматриваемая ошибка отказа в обслуживании позволяла злоумышленнику засыпать все близлежащие устройства iOS файлами через AirDrop. Поскольку всплывающее окно AirDrop занимает весь пользовательский интерфейс iOS и iPadOS, пользователи вынуждены либо принять, либо отклонить запрос AirDrop. Следовательно, когда злоумышленник засыпает кого-либо уведомлениями AirDrop, этот человек больше не может ничего делать на своем iPhone или iPad.
Видео ошибки в действии вы можете увидеть ниже. Вот как Багария описывает ошибку отказа в обслуживании:
Я обнаружил ошибку отказа в обслуживании в iOS, которую я называю AirDoS, позволяющую злоумышленнику бесконечно засыпать все близлежащие устройства iOS всплывающим окном общего доступа AirDrop. Это всплывающее окно фактически блокирует пользовательский интерфейс, поэтому владелец устройства не сможет ничего делать на устройстве, кроме как принять/отклонить всплывающее окно, которое будет постоянно появляться. Оно будет сохраняться даже после блокировки/разблокировки устройства.
iOS 13.3 и iPadOS 13.3, выпущенные сегодня, исправляют эту уязвимость. Багария говорит, что решением Apple было внедрение ограничения скорости. Это означает, что после того, как вы трижды отклоните запрос AirDrop с одного и того же устройства, iOS автоматически отклонит все последующие запросы.
Полную информацию об ошибке вы можете найти в блоге Багарии.