Tre nuove vulnerabilità di AirDrop sono finite sotto la lente di alcuni ricercatori di sicurezza, e il bello (o il brutto, dipende dai punti di vista) è che colpiscono tanto iPhone quanto Mac. Falle molto simili sono state trovate pure in Quick Share, il corrispettivo di Android. Apple, dal canto suo, sta già lavorando a una correzione completa, anche se per ora ne ha sistemata solo una su tre.
La questione non riguarda il furto di dati, sia chiaro. Nessuno può sottrarre informazioni sfruttando questi bug. Il problema è un altro e in qualche modo più subdolo: un malintenzionato può mandare in crash AirDrop, AirPlay, Handoff, Universal Clipboard e Continuity Camera tutte insieme, lasciandole fuori uso per tutto il tempo in cui l’attacco prosegue. Niente di rubato, ma servizi che semplicemente smettono di funzionare.
E il modo in cui si lancia l’attacco è quasi banale. Basta un portatile con il Wi-Fi e trovarsi nel raggio d’azione, di solito tra i 10 e i 30 metri. Nessun accoppiamento, nessuno scambio di contatti, nessuna rete condivisa. Sui dispositivi Apple impostati per ricevere da Tutti, le prime fasi del protocollo rispondono ancora prima che compaia qualsiasi richiesta a schermo. In pratica il sistema reagisce prima di chiedere il permesso all’utente.
Come funzionano questi attacchi a distanza
Tutte e tre le scoperte legate ad AirDrop portano allo stesso epilogo: un crash. La più semplice nasce da una chiamata fatalError nel codice Swift, quello che smista le richieste web in arrivo in base al percorso. Una richiesta verso un percorso non riconosciuto colpisce quella chiamata e fa abortire l’intero processo. Una singola richiesta, corta, e via: AirDrop, AirPlay, Handoff, Universal Clipboard e Continuity Camera vanno giù in un colpo solo. Inviata in loop ogni paio di secondi, tiene il servizio bloccato a tempo indeterminato. Durante un test, tutti i tentativi di connessione legittimi fallivano mentre l’attacco era in corso, per poi tornare a funzionare appena veniva interrotto.
Arash Ebrahim, il ricercatore dietro la scoperta, ha spiegato che evitare del tutto questo genere di vulnerabilità è complicato. La prova? Esistono su più piattaforme nonostante condividano pochissimo codice. “Non credo che la sovrapposizione sia un fatto unico di Apple o Google”, ha detto. “Riflette piuttosto sfide ingegneristiche comuni ai protocolli basati sulla prossimità. Questi servizi sono pensati per offrire un’esperienza fluida, il che significa che dei daemon privilegiati devono elaborare input complessi e controllati dall’attaccante prima ancora che ci sia stata un’autenticazione o un’approvazione da parte dell’utente. Questo crea inevitabilmente un’ampia superficie d’attacco pre autenticazione”.
Una correzione già pronta, le altre in arrivo
Ebrahim ha seguito la prassi della divulgazione responsabile, tenendo per sé i dettagli più precisi finché sia Apple sia Google non avranno avuto modo di sistemare i problemi. Una delle tre falle di AirDrop ha già ricevuto una correzione e un identificativo. “Apple ci ha informato che una delle vulnerabilità segnalate è stata risolta in un aggiornamento software e le è stato assegnato un identificativo CVE“, ha raccontato.
Per il momento, però, l’avviso resta privato. “Il relativo bollettino di sicurezza e il CVE non sono ancora stati pubblicati, quindi non posso condividere ulteriori dettagli in questa fase”, ha aggiunto, precisando che “le restanti segnalazioni inviate ad Apple sono ancora in fase di divulgazione coordinata e non hanno ancora ricevuto un CVE pubblico”. Insomma, su due delle tre vulnerabilità AirDrop il lavoro di Apple è ancora in corso.