Apple ha risolto un bug in iOS 13.3, disponibile da oggi, che consentiva a chiunque di bloccare temporaneamente gli utenti dai loro iPhone e iPad forzando i loro dispositivi in un inevitabile loop.
Kishan Bagaria ha scovato tale bug di AirDrop, che consentiva agli utenti di condividere file tra dispositivi iOS. Ha scoperto che il bug permetteva di inviare ripetutamente file a tutti i dispositivi in grado di accettare file nel raggio d’azione wireless.
Quando veniva ricevuto un file, iOS bloccava la visualizzazione fino a quando il file non veniva accettato o rifiutato. Ma poiché iOS non aveva un limite al numero di richieste di file che un dispositivo può accettare, un utente malintenzionato poteva semplicemente continuare ad inviare file di continuo, causando il blocco del dispositivo in un ciclo. Usando uno strumento open source, Bagaria avrebbe potuto inviare ripetutamente i file non solo a un target specifico nel raggio d’azione, ma a qualsiasi dispositivo impostato per accettare file nel raggio d’azione wireless.
Bagaria ha chiamato il bug “AirDoS“, quest’ultima parte è l’abbreviazione di “denial-of-service”, che nega effettivamente l’accesso dell’utente al proprio dispositivo.
I dispositivi che avevano come impostazione su AirDrop di poter ricevere file da “Chiunque” erano principalmente a rischio. La disattivazione del Bluetooth avrebbe impedito efficacemente l’attacco, ma Bagaria ha affermato che la casella di accettazione dei file era così persistente che era quasi impossibile disattivare il Bluetooth quando era in corso un attacco. L’unico modo per fermare un attacco era quello di “scappare“. Infatti, una volta che un utente era fuori dalla portata wireless dell’attaccante, poteva disattivare il Bluetooth.
Apple ha corretto il bug aggiungendo un limite di velocità che previene una raffica di richieste in un breve periodo di tempo. Ma poiché il bug non era strettamente una vulnerabilità di sicurezza, Apple ha affermato che non avrebbe emesso un punteggio comune di vulnerabilità, in genere associato a problemi di sicurezza.
News