將您的設(shè)備更新到iOS 13.3 以避免此AirDrop漏洞

蘋果今天向公眾發(fā)布了iOS 13.3和iPadOS 13.3。除了我們先前詳細(xì)介紹的新功能和自定義選項(xiàng)之外，此更新還包括針對(duì)AirDrop漏洞的重要安全修復(fù)程序，該漏洞使攻擊者“遠(yuǎn)程使附近的任何iPhone或iPad無(wú)法使用。”

該漏洞是由Kishan Bagaria發(fā)現(xiàn)的，他于8月向蘋果報(bào)告了該漏洞。蘋果承認(rèn)在11月份正在研究此漏洞的修復(fù)程序，并要求Bagaria在iOS 13.3公開發(fā)布之前不公開此問(wèn)題。

有問(wèn)題的拒絕服務(wù)漏洞使攻擊者可以通過(guò)AirDrop向附近的所有iOS設(shè)備發(fā)送垃圾郵件。由于AirDrop彈出窗口將接管整個(gè)iOS和iPadOS UI，因此用戶被迫接受或拒絕AirDrop請(qǐng)求。因此，當(dāng)攻擊者向某人發(fā)送AirDrop通知時(shí)，該人將無(wú)法在其iPhone或iPad上執(zhí)行任何操作。

這是Bagaria描述拒絕服務(wù)錯(cuò)誤的方式：

我在iOS中發(fā)現(xiàn)了一個(gè)拒絕服務(wù)漏洞，稱為AirDoS，攻擊者可以利用AirDrop共享彈出窗口無(wú)限地向附近的所有iOS設(shè)備發(fā)送垃圾郵件。此共享彈出窗口實(shí)際上會(huì)阻止UI，因此設(shè)備所有者將無(wú)法繼續(xù)在設(shè)備上執(zhí)行任何操作，但“接受/拒絕”彈出窗口會(huì)繼續(xù)出現(xiàn)。即使在鎖定/解鎖設(shè)備后，它也將持續(xù)存在。

今天發(fā)布的iOS 13.3和iPadOS 13.3修復(fù)了此漏洞。Bagaria說(shuō)，蘋果的解決方案是實(shí)施速率限制。這意味著在您兩次拒絕來(lái)自同一設(shè)備的AirDrop請(qǐng)求之后，iOS將自動(dòng)拒絕任何后續(xù)請(qǐng)求。