iOS 13.3 contient un correctif qui fait un sort à un bug vraiment casse-pied d'AirDrop. Le chercheur Kishan Bagaria a découvert qu'un malandrin pouvait organiser une attaque par déni de service sur tous les appareils iOS environnants qui acceptent les requêtes AirDrop de tout le monde. Ce n'est pas vraiment une faille de sécurité — Apple ne la considère pas comme telle —, mais plus d'un irritant pénible : quand on est victime d'une telle attaque, il devient quasiment impossible d'utiliser un iPhone ou un iPad tant que le brigand est dans les parages.
Quand un appareil iOS reçoit une requête AirDrop, il affiche une alerte demandant à l'utilisateur d'autoriser ou pas la réception du fichier. Or, il se trouve que jusqu'à présent, le système d'exploitation ne limitait pas le nombre de requêtes. Un forban peut donc très bien les multiplier, les terminaux victimes seront alors enfermés dans une boucle infernale, impossible de faire quoi que ce soit d'autres que d'afficher encore et encore cette fichue fenêtre.
Kishan Bagaria a développé un petit outil qui lui permet d'envoyer automatiquement des fichiers via AirDrop à tous les iPhone et iPad présents à proximité. Pour se débarrasser du bug, baptisé « AirDoS » (DoS pour « denial of service »), il faut pouvoir déconnecter le Bluetooth, ce qui est quasiment mission impossible vu la fréquence infernale de l'attaque.
Une solution simple est de tout simplement s'enfuir au loin avec son iPhone en main : la portée d'AirDrop est limitée et au bout d'un moment, on ne pourra plus recevoir la fichue requête. Plus facile à dire qu'à faire quand on est coincé dans un avion ! Tout cela est heureusement du passé avec iOS 13.3, qui limite le nombre de requêtes AirDrop pendant un moment donné.
Plus généralement, on gagnera à modifier le réglage Général > AirDrop en n'autorisant les partages qu'avec ses contacts.
Source :
