TechCrunch报道,iOS 13.2.3中存在一个严重的AirDrop错误,攻击者可以利用文件淹没附近的iPhone,从而使它们锁定。Apple解决了iOS 13.3更新中的错误,其工作方式的详细信息现已公开。
AirDrop旨在允许用户彼此共享文件,并且可以根据设置将其限制为联系人,任何人或附近的任何iPhone。Kishan Bagaria在iOS 13.2.3中发现了AirDrop错误,发现他可以通过连续向多个文件中填充文件来锁定附近可以接收文件的iPhone。
收到AirDrop文件、, iPhone或iPad阻止显示,直到传入的请求被接受或拒绝。iOS并未限制设备可以接受的请求数量,因此,通过重复发送消息请求,攻击者能够一次又一次地发送文件,从而导致iOS设备陷入循环。
将AirDrop设置为“所有人”的设备最容易受到攻击,这不是默认的AirDrop设置。AirDrop仅限联系人,并且必须手动启用“所有人”设置。
但是,到目前为止,该错误不再起作用,Apple限制了可快速连续发送到iOS设备的AirDrop消息的数量。考虑到这不是传统的安全漏洞,Apple将不会提供常见的漏洞和CVE评分,而是承认了这一点。在安全支持文档的单独部分中。