Спецпроекты

Найден способ сделать бесполезными все iPhone и iPad

6364
Безопасность Техника

Злоупотребление функцией AirDrop позволяет фактически заблокировать использование устройств под iOS с помощью бесконечных запросов на соединение. Apple реализовала возможность заблокировать подобные атаки.

Окна невозможности

Apple внесла изменения в свои операционные системы, чтобы защитить пользователей смартфонов и планшетов под iOS от атаки, делающей использование этих устройств практически невозможным.

Атака AirDoS заключалась в том, чтобы «бесконечно заспамливать» целевые устройства всплывающим сообщением (popup) с запросом на подключение AirDrop. Атака работает и на macOS, но там всплывающее окно хотя бы не блокирует остальной интерфейс.

Функция AirDrop позволяет владельцам iPhone, iPad, Mac и iPod обмениваться фотографиями, документами, точками на карте и прочими тиипами данных и файлов с другими устройствами через Bluetooth или подключения по Wi-Fi.

Эксперт по безопасности Кишан Багария (Kishan Bagaria) обнаружил, что существует возможность заставить устройства под iOS и iPadOS бесконечно выводить всплывающее сообщение AirDrop, тем самым блокируя остальной пользовательский интерфейс смартфона. Вне зависимости от того, сколько раз пользователь нажмет кнопки «принять» или «отклонить», сообщение будет выводиться снова и снова.

Атака на функцию iOS позволяла сделать использование смартфона невозможным

Пробный эксплойт Багариа опубликовал на своем сайте. Apple выпустила обновления для своих операционных систем (iOS 13.3, iPadOS 13.3, macOS 10.15.2), позволяющие нейтрализовать атаку: после трех нажатий кнопки «отклонить» все дальнейшие запросы AirDrop от одного и того же устройства будут отклоняться по умолчанию.

Условия срабатывания

Атака сработает только в том случае, если в настройках указана возможность получать данные от всех, а не только от личных контактов; и, естественно, если включены модули связи Bluetooth или Wi-Fi.

Для прекращения атаки потребуется оказаться на таком расстоянии от атакующего устройства, чтобы выйти из диапазона действия Bluetooth и/или Wi-Fi. Помимо этого, если включена служба Siri, можно дать голосовую команду на отключение беспроводных соединений; атака прекратится.

«В общем и целом, речь идет даже не об уязвимости как таковой, а об использовании определенной функции в качестве уязвимости, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Злоупотребление даже самыми удобными инструментами может превратить их в источник проблем. Пользователям устройств под iOS стоит сразу же ограничивать возможности для поступления AirDrop-запросов — в том, чтобы получать их от совершенно посторонних лиц или устройств, нет особого смысла».



Профиль месяца

Мы помогаем выращивать российское ПО

Андрей Филатов

глава SAP CIS

Технология месяца

Важная тенденция — бум использования «хайповых» технологий в реальных проектах

Елена Лукутина

партнер, директор по операционной деятельности и технологическому развитию «Неофлекс»

партнер «Неофлекс»