iOS 13.3およびiPadOS 13.3

Appleは昨日、新しくiPhone用に「iOS 13.3」とiPad用に「iPadOS 13.3」をリリースしました

セキュリティのバグが修正されていますが、その内容は公開されていません

重要なのは、これにより、ユーザーのデバイスを不可避のループに強制することで、ユーザーをiPhoneやiPadから一時的にロックアウトできたことです

Kishan Bagaria氏は、ユーザーがiOSデバイス間でファイルを共有できるAirDropのバグを発見しました

このバグにより、攻撃者の無線範囲内でファイルを受け入れることができるすべてのデバイスにファイルを繰り返し送信できることがわかりました

AirDropの問題

AirDropでファイルが受信されると、iOSはファイルが受け入れられるか拒否されるまで表示をブロックします

しかし、iOSはデバイスが受け入れることのできるファイルリクエストの数を制限しなかったため、攻撃者は単にファイルを何度も送信し続け、ファイル受け入れボックスを繰り返し表示し、デバイスがループでスタックする原因となります

オープンソースツールを使用すると、Bagariaは範囲内の特定のターゲットだけでなく、ワイヤレス範囲内のファイルを受け入れるように設定された任意のデバイスに何度も何度もファイルを送信することができました

Bagaria氏はバグを「AirDoS」と呼びます

「すべての人」からファイルを受信するようにAirDrop設定が設定されているデバイスは、ほとんどが危険にさらされていました

Bluetoothをオフにすると効果的に攻撃を防ぐことができますが、Bagaria氏によると、ファイル受け入れボックスは非常に永続的であるため、攻撃が進行中にBluetoothをオフにすることはほぼ不可能です

Apple は、短期間のリクエストの集中を防ぐレート制限を追加することで、バグを修正しました

しかし、このバグは厳密にはセキュリティ上の脆弱性ではなかったため、Apple は、通常はセキュリティ関連の問題に関連する一般的な脆弱性とエクスポージャー(CVE)スコアを発行せず、代わりにセキュリティアドバイザリでのBagariaの調査結果を「公に認める」と述べました

(Via Tech Crunch.)


この記事では触れられていませんが、昨日の旧モデルに対するアップデータ「iOS 12.4.4」も重要なセキュリティアップデートを含むとなっていたので、同様の修正をしたものではないかと思われます