В iOS 13.2.3 существовала серьезная ошибка AirDrop, позволявшая злоумышленникам перегружать соседние iPhone файлами, вызывая их блокировку, сообщает TechCrunch. Apple исправила эту ошибку в обновлении iOS 13.3, и детали ее работы теперь общедоступны.

AirDrop предназначен для обмена файлами между пользователями и, в зависимости от настроек, может быть ограничен контактами, всеми пользователями или любым соседним iPhone. Кишан Багария обнаружил ошибку AirDrop в iOS 13.2.3, выяснив, что он может блокировать соседние iPhone, способные принимать файлы, перегружая их множеством файлов подряд.

При получении файла через AirDrop iPhone или iPad блокирует дисплей до тех пор, пока входящий запрос не будет принят или отклонен. iOS не ограничивала количество запросов, которые может принять устройство, поэтому при повторных запросах сообщений злоумышленник мог отправлять файлы снова и снова, вызывая зацикливание iOS-устройства.

Устройства с настройкой AirDrop «Для всех» были в основном уязвимы к этой атаке, что не является стандартной настройкой AirDrop. AirDrop ограничен контактами, и настройка «Для всех» должна быть включена вручную.

Однако на данный момент ошибка больше не работает, и Apple ограничила количество сообщений AirDrop, которые могут быть отправлены на iOS-устройство в быстрой последовательности. Поскольку это не было традиционной уязвимостью безопасности, Apple не предоставит общий счет уязвимости и идентификатор CVE, но вместо этого признала ее в отдельном разделе документации по безопасности.