蘋果近日釋出的 iOS 13.3 正式版更新,除了修復各種漏洞與增加部分新功能外,也修復了一個「AirDrop 炸彈」的漏洞;這個由開發者 Kishan Bagaria 發現的漏洞,可以在短時間內無限制地對特定裝置傳送 AirDrop 接收邀請,即使對方不斷拒絕也無法停止接收。
AirDrop 無限傳送邀請 bug
根據開發者 Kishan Bagaria 發表的這個漏洞,可以傳送無限多個 AirDrop 邀請給特定裝置,因此無論對方是接收或拒絕,仍然會不斷地接受到新的邀請;他也將這個漏洞命名為「AirDos / OpenDrop」(類似 AirDrop 版的 DDoS)並將原始碼上傳至 Github 上。
但幸好,這個漏洞已經被蘋果在 iOS 13.3 正式版本中修正,修正的方式是當裝置連續兩次拒絕來自同一台設備的 AirDrop 邀請,iOS 就會防止這台裝置繼續接收短時間收到的大量 AirDrop 要求。
更多 AirDrop》
Kishan Bagaria表示意外在AirDrop發現這項漏洞,可以讓iOS設備藉由共享文件時,能反覆向接收者發動無限文件請求,就算對方就算點擊不同意接收,依舊還是會持續跳出要求接收提示畫面。
由於AirDrop功能並沒有限制接受文間請求數量,導致攻擊者可以不斷的重覆發送ˋ出邀請,讓設備陷入AirDrop要求接收文件無限迴圈中。
不過目前這項錯誤也已經被 iOS 13.3修補,Kishan Bagaria也已經將AirDrop漏洞命名為「OpenDrop」,並且將原始碼分享至Github。
在iOS 13.3修正的方法是替AirDrop傳輸數據限制要求來修補這項錯誤,也是指如果在連續兩次拒絕同一台設備AirDrop要求,iOS就會自動拒絕防止在短時間內突然收到大量要求。
蘋果認為這項錯誤屬於功能Bug並非是系統的安全漏洞,所以並不會被標示為CVE項目,不過採用特別感謝方式來回應英國羅浮堡大學的Kishan Bagaria和Tom Snelling 提供協助。
要是不想升級iOS 13.3用戶,也想要防止這項攻擊,最簡單的方法就是平時如果沒有在用AirDrop功能都建議改為「只限聯絡人」或「關閉接收」,也能有效防止這類攻擊。
