▲攻擊者可利用AirDrop共享提示訊息不停地向附近的所有iOS設備發送垃圾郵件,讓使用者將無法在設備上執行任何操作。(圖/翻攝自YouTube/Kishan Bagaria)
記者王曉敏/綜合報導
蘋果稍早釋出了iOS 13.3及iPadOS 13.3更新,除了推出新功能並提供一些自訂選項外,也針對AirDrop漏洞進行了重要的安全修復,這個名為「AirDoS」的漏洞將使攻擊者能遠程使附近任何iPhone或iPad無法使用。
該漏洞最早由工程師巴加里亞(Kishan Bagaria)發現,並於今年8月向蘋果報告,目前蘋果已於iOS 13.3作業系統更新內修復。巴加里亞在個人部落格上指出,這個拒絕服務漏洞稱作AirDoS,攻擊者可利用AirDrop共享提示訊息不停地向附近的所有iOS設備發送垃圾郵件,而此提示訊息因會阻止UI,因此使用者將無法在設備上執行任何操作,即便在鎖定畫面上,該提示訊息仍會一直跳出來。
▼影片取自YouTube,如遭刪除請見諒。
[Youtube]B6boxYcAC1k[/Youtube]
不過巴加里亞也表示:「此漏洞仍受AirDrop設定所限制,若用戶將AirDrop接收對象設定為『所有人』,則任何人皆可以成為攻擊者,若用戶僅限『聯絡人』,則僅有其聯絡人能對其發動攻擊。」若想要脫離此攻擊,除了離開AirDrop的可接收範圍外,用戶也可透過關閉AirDrop、WiFi及藍牙來阻止攻擊。為避免攻擊,巴加里亞建議用戶不要將AirDrop接收對象設定為「所有人」。
根據巴加里亞的說法,蘋果的解決方案是實施AirDrop共享的頻率限制,也就是說,若用戶已連續兩次拒絕來自同一設備的AirDrop共享請求,iOS將自動拒絕接下來的其他次共享請求。
|
|