Appleは本日、iOS 13.3とiPadOS 13.3を一般公開しました。先ほどご紹介した新機能とカスタマイズオプションに加え、このアップデートには、攻撃者が「近くにあるiPhoneまたはiPadをリモートで使用不能にする」ことを可能とするAirDropの脆弱性に対する重要なセキュリティ修正も含まれています。
この脆弱性はキシャン・バガリア氏によって発見され、8月にAppleに報告されました。Appleは11月にこの脆弱性の修正に取り組んでいることを認め、iOS 13.3が一般公開されるまでバガリア氏に問題を公表しないよう要請しました。
問題のサービス拒否(DoS)バグにより、攻撃者はAirDrop経由で近くのiOSデバイスすべてにファイルを大量に送信することが可能になりました。AirDropのポップアップがiOSおよびiPadOSのUI全体を占有するため、ユーザーはAirDropリクエストを承認するか拒否するかを迫られます。そのため、攻撃者が誰かにAirDrop通知を大量に送信した場合、その人はiPhoneやiPadで何も操作できなくなります。
実際にバグが動作する様子を収めた動画は以下からご覧いただけます。Bagaria氏はこのサービス拒否バグについて以下のように説明しています。
iOSにサービス拒否(DoS)のバグを発見しました。このバグはAirDoSと呼ばれ、攻撃者が近くのiOSデバイスすべてにAirDropの共有ポップアップを無限に送りつけることができるものです。この共有ポップアップはUIをブロックするため、デバイス所有者はポップアップを承認/拒否する以外に何もできなくなります。ポップアップは繰り返し表示されます。デバイスのロック/ロック解除後も、ポップアップは消えません。
本日リリースされたiOS 13.3とiPadOS 13.3では、この脆弱性が修正されています。Bagaria氏によると、Appleの解決策はレート制限の導入でした。これは、同じデバイスからのAirDropリクエストを3回拒否すると、iOSがそれ以降のリクエストを自動的に拒否することを意味します。
このバグの詳細は、Bagaria のブログでご覧いただけます。
www.moresit.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
