Mastodon
Zdjęcie okładkowe wpisu Trzy luki w AirDrop mogą zdalnie wyłączyć usługi Apple — Apple pracuje nad poprawką

Trzy luki w AirDrop mogą zdalnie wyłączyć usługi Apple — Apple pracuje nad poprawką

0
Dodane: 4 godziny temu
fot. Apple

Badacze bezpieczeństwa odkryli trzy luki w AirDrop, które pozwalają na zdalne wyłączenie AirDrop, AirPlay, Handoff, Universal Clipboard i Continuity Camera na iPhone’ach i Makach. Apple naprawiło jedną z nich, dwie pozostałe są w trakcie.

Jak podaje 9to5Mac na podstawie raportu HelpNetSecurity, badacze bezpieczeństwa odkryli trzy luki w protokole AirDrop, dotykające zarówno iPhone’a, jak i Maka. Podobne podatności znaleziono też w androidowym Quick Share.

Serwis HelpNetSecurity informuje, że przeprowadzenie tego ataku jest bardzo proste.

Osoba atakująca z bliskiej odległości potrzebuje laptopa z modułem Wi-Fi oraz miejsca w zasięgu sieci, często wynoszącym od 10 do 30 metrów. Nie jest wymagane parowanie urządzeń, wymiana danych kontaktowych ani wspólna sieć. W przypadku urządzeń Apple ustawionych na odbieranie sygnałów od „Wszyscy” wczesne etapy protokołu uruchamiają się, zanim pojawi się jakikolwiek monit dla użytkownika.

Do przeprowadzenia ataku wystarczy laptop z Wi-Fi i znajdowanie się w odległości 10–30 metrów od celu. Nie jest potrzebne żadne parowanie, wymiana kontaktów ani wspólna sieć. Co ważne: żadne dane użytkownika nie wyciekają — ale atak pozwala zdalnie i skutecznie wyłączyć AirDrop, AirPlay, Handoff, Universal Clipboard i Continuity Camera. Jedno krótkie złośliwe zapytanie trafiające w nieobsługiwaną ścieżkę protokołu powoduje crash całego procesu. Wysyłane co kilka sekund w pętli utrzymuje te usługi niedostępnymi przez cały czas trwania ataku.

Badacz Arash Ebrahim zastosował odpowiedzialną procedurę ujawniania luk — szczegóły techniczne pozostają utajnione do czasu, gdy Apple i Google opublikują poprawki. Apple naprawiło jedną z trzech luk i przypisało jej identyfikator CVE — pozostałe dwie są nadal w trakcie skoordynowanego ujawnienia.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .