將您的設(shè)備更新到iOS 13.3 以避免此AirDrop漏洞

蘋果今天向公眾發(fā)布了iOS 13.3和iPadOS 13.3。除了我們先前詳細介紹的新功能和自定義選項之外，此更新還包括針對AirDrop漏洞的重要安全修復(fù)程序，該漏洞使攻擊者“遠程使附近的任何iPhone或iPad無法使用。”

該漏洞是由Kishan Bagaria發(fā)現(xiàn)的，他于8月向蘋果報告了該漏洞。蘋果承認在11月份正在研究此漏洞的修復(fù)程序，并要求Bagaria在iOS 13.3公開發(fā)布之前不公開此問題。

有問題的拒絕服務(wù)漏洞使攻擊者可以通過AirDrop向附近的所有iOS設(shè)備發(fā)送垃圾郵件。由于AirDrop彈出窗口將接管整個iOS和iPadOS UI，因此用戶被迫接受或拒絕AirDrop請求。因此，當攻擊者向某人發(fā)送AirDrop通知時，該人將無法在其iPhone或iPad上執(zhí)行任何操作。

這是Bagaria描述拒絕服務(wù)錯誤的方式：

我在iOS中發(fā)現(xiàn)了一個拒絕服務(wù)漏洞，稱為AirDoS，攻擊者可以利用AirDrop共享彈出窗口無限地向附近的所有iOS設(shè)備發(fā)送垃圾郵件。此共享彈出窗口實際上會阻止UI，因此設(shè)備所有者將無法繼續(xù)在設(shè)備上執(zhí)行任何操作，但“接受/拒絕”彈出窗口會繼續(xù)出現(xiàn)。即使在鎖定/解鎖設(shè)備后，它也將持續(xù)存在。

今天發(fā)布的iOS 13.3和iPadOS 13.3修復(fù)了此漏洞。Bagaria說，蘋果的解決方案是實施速率限制。這意味著在您兩次拒絕來自同一設(shè)備的AirDrop請求之后，iOS將自動拒絕任何后續(xù)請求。