iOS 13.3、AirDrop爆撃で周囲のiPhoneを使用不能にできるバグ修正

アップルは10日（米現地時間）にiOS 13.3を配信開始しましたが、AirDropに存在したバグが解決されたことが明らかとなりました。

これは攻撃者が周囲にあるiPhoneやiPadを事実上の使用不能にできるものですが、アップルの公式リリースノートでは言及されず、米TechCrunchや発見者のブログを通じて修正が報じられています。このバグは、キシャン・バガリア（Kishan Bagaria）氏が8月に発見したものです。アップルはバグの修正に取り組んでいることを認めた上で、iOS 13.3が公開されるまで問題を公にしないようバガリア氏に頼んだとのことです。

AirDropでは周囲のiPhoneやiPadにファイルを送信できますが、受信した側のデバイスは着信要求が承認されるか拒否されるまでポップアップを表示し、それ以外の操作が中断されてしまいます。

これが一度きりなら対処しようがありますが、iOS 13.2.3では送受信できるファイル数に制限が設けられていませんでした。そのため攻撃者が単に何度もファイルを送信し続けることで、ポップアップがくり返し表示され、相手のデバイスを使用不能へと追い込めました。

バガリア氏はこのバグを「AirDos」と呼んでいます。AirDropとDoS攻撃（Denial Service attack）、すなわち意図的に大量のリクエストを送りつけるなどサービスを妨害する手法を掛け合わせているわけです。

AirDropの送信許可が「すべての人」に設定されているデバイスは、この攻撃に対して特に脆弱でした。もっとも、iOSのデフォルトでは「連絡先のみ」と設定されており、実際の脅威は身内での悪ふざけを除き、さほど大きくなかったかもしれません。

ともあれiOS 13.3ではAirDropが短時間のうちに送信できるメッセージの数は制限され、バグは使えなくなっています。バガリア氏の解説によれば、同じデバイスからのAirDrop受信要求を3回拒否すると、iOSはそれ以降のリクエストを自動的に拒否するとのことです。

アップルはこのバグが厳密にはセキュリティの脆弱性ではなかったため、CVE（Common Vulnerability and Exposure、脆弱性データベース）には登録しなかったとのことです。ただしセキュリティアップデート文書の中でバガリア氏に謝意を表すことで、バグが存在したと間接的に認めています。

公式リリースノート内であえて記載していないのも、iOS 13.3にアップデートしていないデバイスへの攻撃を防ぐためかもしれません。

2019-12-11 00:21:55