AirDrop的一个iOS漏洞可以让任何用户暂时锁定附近的iphone（Apps）

苹果今天修复了iOS 13.3的一个漏洞，该漏洞允许任何人通过强迫用户进入一个不可避免的循环，暂时将用户与iphone和ipad隔离。

Kishan Bagaria在AirDrop中发现了一个漏洞，它允许用户在iOS设备之间共享文件。他发现这个漏洞让他可以反复向所有能够在攻击者的无线范围内接收文件的设备发送文件。

当收到文件时，iOS会阻止显示，直到文件被接受或拒绝。但是，由于iOS没有限制设备可以接受的文件请求的数量，攻击者可以简单地反复发送文件，反复显示文件接受框，导致设备陷入一个循环。

使用开源工具，Bagaria不仅可以将文件一次又一次地发送到特定范围内的目标，还可以发送到任何设置为在无线范围内接收文件的设备。

“AirDoS” 攻击的演示

Bagaria称这种漏洞为“AirDoS”，后者是“拒绝服务”的缩写，即拒绝用户访问他们的设备。

那些将空投设置为接收“每个人”的文件的设备大多处于危险之中。关闭蓝牙可以有效地阻止攻击，但Bagaria说文件接收框是如此的持久，以至于在攻击发生时几乎不可能关闭蓝牙。

阻止攻击的唯一方法是什么?“干脆跑开，”他说。一旦用户超出了攻击者的无线范围，他们就可以关闭蓝牙。

他开玩笑说:“我不知道这在飞机上能有多好用。”

苹果公司增加了一个速率限制来防止短时间内接二连三的请求，从而修复了这个漏洞。但由于这个漏洞严格来说并不是一个安全漏洞，苹果公司表示，它不会发布一个通常与安全相关问题相关的普通漏洞和暴露(CVE)评分，而是在安全咨询中“公开承认”Bagaria的发现。