Apple a corrigé un bug dans iOS 13.3 qui permettait à quiconque de bloquer temporairement les iPhone et iPad à proximité.
Kishan Bagaria a trouvé ce bug AirDrop, qui permettait aux utilisateurs de partager des fichiers entre des appareils iOS. Il a découvert que le bug permettait d’envoyer des fichiers à plusieurs reprises à tous les appareils capables d’accepter des fichiers à portée sans fil.
Lorsqu’un fichier était reçu, iOS bloquait la vue jusqu’à ce que le fichier soit accepté ou rejeté. Mais comme iOS n’avait pas de limite au nombre de demandes de fichiers qu’un appareil peut accepter, un attaquant pouvait simplement continuer à envoyer des fichiers en continu, provoquant le blocage de l’appareil en boucle. À l’aide d’un outil open source, Bagaria aurait pu envoyer à plusieurs reprises des fichiers non seulement à une cible spécifique à portée, mais à tout appareil configuré pour accepter des fichiers à portée sans fil.
Bagaria a appelé le bug « AirDoS« , cette dernière partie est l’abréviation de « déni de service », qui refuse effectivement l’accès de l’utilisateur à son appareil.
Les appareils qui avaient le réglage sur AirDrop permettant de recevoir des fichiers de « N’importe qui » étaient principalement à risque. La désactivation de Bluetooth aurait effectivement empêché l’attaque, mais Bagaria a affirmé que la boîte d’acceptation des fichiers était si persistante qu’il était presque impossible de désactiver Bluetooth lorsqu’une attaque était en cours. La seule façon de l’arrêter était de « s’éloigner ». En fait, une fois qu’un utilisateur était hors de portée sans fil de l’attaquant, il pouvait désactiver le Bluetooth.
Apple a corrigé le bug en ajoutant une limite de vitesse qui empêche une rafale de demandes en peu de temps. Mais comme ce bug n’était pas réellement une vulnérabilité de sécurité, Apple a déclaré qu’elle n’émettrait pas de score de vulnérabilité commun, généralement associé à des problèmes de sécurité.
