Tutti gli utenti iPhone che non aggiornano iOS da qualche settimana faranno meglio a scaricare l'ultimo pacchetto software che Apple ha messo loro a disposizione in questi giorni e che porta il sistema alla versione 13.3. La novità corregge come di consueto alcuni inevitabili bug, tra i quali però se ne nasconde uno particolarmente fastidioso, che dà la possibilità ad amici e conoscenti in vena di scherzi di bloccare del tutto i telefoni con una serie infinita di richieste AirDrop.

A puntare i riflettori sul problema è stato il ricercatore informatico Kishan Bagaria con un intervento sul suo blog nel quale ha battezzato l'attacco AirDoS. Come suggerisce il nome, la tecnica prende in prestito il concetto di Denial of Service – l'atto di inondare di contatti un server Internet nel tentativo di mandarlo in tilt per via dell'eccessivo numero di richieste da soddisfare – e lo applica all'ormai noto sistema di trasferimento wireless dei file sviluppato da Apple per i suoi prodotti.

Come funziona AirDoS

AirDoS approfitta del fatto che tentare di inviare un file a un iPhone utilizzando AirDrop risulta sempre in un messaggio popup sullo schermo del dispositivo, che chiede al proprietario se desideri effettivamente ricevere il file oppure no. La finestra di dialogo che viene visualizzata è una misura di sicurezza che impedisce al telefono di ricevere contenuti non desiderati, ma nello scenario architettato da Bagaria si trasforma in una falla. L'attacco invia infatti una serie sterminata e automatizzata di richieste AirDrop, a ripetizione e a breve distanza una dall'altra: in questo modo il proprietario dell'iPhone non può effettivamente liberarsi dei relativi messaggi popup. E dal momento che le finestre di dialogo si impongono in primo piano sulle app e sul resto del sistema operativo, non potersene liberare blocca di fatto tutte le operazioni sul telefono.

I rischi e le soluzioni

Come è possibile intuire, l'attacco non è veramente pericoloso ma solamente un potenziale fastidio, soprattutto perché – per come era ingegnerizzato AirDrop prima dell'ultimo aggiornamento – poteva essere effettuato non solo da amici e conoscenti, ma da chiunque fosse nella portata WiFi del dispositivo vittima. Del resto neanche bloccare e sbloccare il gadget lo mette al riparo dagli attacchi, che funzionano anche su iPad. Con gli ultimi aggiornamenti Apple ha imposto un limite sul numero di richieste AirDrop che un iPhone o un iPad possono ricevere in un determinato lasso di tempo, permettendo al contempo agli utenti di scegliere se desiderano limitare le richieste di invio solamente ai contatti presenti in rubrica. Per ottenere il nuovo software basta effettuare una verifica manuale degli aggiornamenti nelle impostazioni del telefono; l'unica alternativa per mettersi al riparo da AirDoS in caso di intrusione è quella di fuggire fisicamente lontano dal dispositivo che sta effettuando l'attacco o di tenere spenta la funzionalità AirDrop quando non in uso.