A Apple corrigiu uma falha do iOS 13.3, que permitia qualquer pessoa bloquear temporariamente iPhones e iPads de seus usuários. O bug foi encontrado por Kishan Bagaria, que descobriu que era possível enviar repetidamente arquivos para todos os aparelhos capazes de aceitá-los em um raio de distância próximo ao invasor.
Quando um arquivo é recebido, o iOS bloqueia automaticamente a exibição de tela até ele ser aceito ou rejeitado. No entanto, a Apple não determinou um limite para o número de solicitações, portanto, um invasor conseguia enviar repetidamente vários arquivos de modo com que o dispositivo começasse a exibir a caixa de aceitação instantaneamente e ficasse inacessível.
Para piorar, Bagaria descobriu que com uma ferramenta de código-fonte aberto poderia enviar arquivos continuamente não apenas para um destino específico, mas para qualquer aparelho que estivesse configurado para aceitá-los dentro do alcance do invasor. Ele denominou o erro de “AirDoS”, pois a primeira parte faz alusão ao AirDrop e a última consiste em uma abreviação de “negação de serviço”, devido à incapacidade de acesso do usuário ao dispositivo.
Uma das possíveis soluções seria desativar o bluetooth, o que impediria efetivamente o ataque. No entanto, Bagaria disse que a caixa de aceitação de arquivo é tão resistente que é quase impossível desativá-lo durante o golpe. Portanto, a alternativa mais viável de acordo com ele é simplesmente correr até sair do raio de alcance do hacker.
A Apple corrigiu o bug adicionando um limite de taxa que impede uma série de solicitações por um curto período. Mas como a falha não era estritamente uma vulnerabilidade de segurança, a empresa afirmou que não vai emitir uma pontuação comum de vulnerabilidade e exposição (CVE).
Via: Tech Crunch
Tags: