AirDrop'ta Üç Güvenlik Açığı Keşfedildi, Apple Tam Düzeltme Üzerinde Çalışıyor

Bir güvenlik araştırmacısı, hem iPhone hem de Mac'i etkileyen üç AirDrop güvenlik açığı keşfetti. Android'in Quick Share'inde de benzer açıklar bulundu. Saldırgan, bu açıkları kolayca kullanarak AirDrop, AirPlay, Handoff, Universal Clipboard ve Continuity Camera'nın çökmesine ve saldırı devam ettiği sürece kullanılamaz hale gelmesine neden olabiliyor.

HelpNetSecurity'in haberine göre, saldırıyı başlatmak oldukça basit. Yakın mesafedeki bir saldırgan, Wi-Fi özellikli bir dizüstü bilgisayar ve genellikle 10 ila 30 metre aralığında bir konum gerekiyor. Herhangi bir eşleştirme, kişi değişimi veya ortak ağ gerekmiyor. Apple cihazlarında 'Herkes' seçeneği etkinse, erken protokol aşamaları herhangi bir kullanıcı uyarısı görünmeden önce yanıt veriyor.

İyi haber, hiçbir verinin ele geçirilememesi. Kötü haber ise, hem iPhone hem de Mac'teki bir dizi ilgili Apple hizmetinin uzaktan devre dışı bırakılabilmesi. Keşfedilen üç AirDrop açığı da çökmeyle sonuçlanıyor. En basit olanı, gelen web isteklerini yola göre yönlendiren kodda bir Swift fatalError çağrısından kaynaklanıyor. Tanınmayan bir yola yapılan istek bu çağrıyı tetikliyor ve tüm süreci sonlandırıyor.

Tek bir kısa istek, AirDrop, AirPlay, Handoff, Universal Clipboard ve Continuity Camera'yı aynı anda devre dışı bırakıyor. Her birkaç saniyede bir döngü halinde gönderildiğinde, hizmeti sürekli olarak kapalı tutuyor. Bir test sırasında, meşru bağlantı denemeleri saldırı altında başarısız olurken, saldırı durduğunda tekrar başarılı hale geldi.

Güvenlik araştırmacısı Ale Ebrahim, bu tür güvenlik açıklarından tamamen kaçınmanın zor olduğunu belirterek, çok az ortak kod paylaşılmasına rağmen birden fazla platformda var olduklarına dikkat çekti. 'Örtüşmenin yalnızca Apple veya Google'a özgü olduğunu düşünmüyorum. Bunun yerine, ortak mühendislik uygulamalarını yansıtıyor' dedi.