iPhone gjør det enkelt å koble til Bluetooth-enheter, for eksempel AirTags eller AirPods. En hacker har imidlertid oppdaget en måte å kapre iPhone og oversvømme den med spørsmål om å koble til enheter, noe som gjør det vanskelig å bruke iPhone.
En sikkerhetsforsker kalt Techryptic (identifisert som "Anthony" av TechCrunch) skrev en blogg innlegg og laget en video demonstrasjon på hvordan en Flipper Zero kan brukes til å oversvømme en iPhone med tilkoblingsvarslene som du vanligvis ser med Bluetooth-enheter. Som Techryptic uttrykker det, kan en angriper "effektivt starte en DDOS [distribuert tjenestenekt]-varsling angrep på hvilken som helst iOS-enhet." Overfloden av varsler ville gjøre det praktisk talt umulig for noen å bruke iPhone.
Hva er hensikten med å poste dette? Den har muligheten til å effektivt starte et DDOS-varslingsangrep på hvilken som helst iOS-enhet, noe som gjør den ufunksjonell. Selv om enheten er i flymodus, er den fortsatt mottakelig. Apple bør vurdere å implementere sikkerhetstiltak for å redusere.
– Techryptic, Ph.D. (@tech) 4. september 2023
Ifølge Flipper Zero nettsted, en Flipper Zero er en $169-enhet som brukes til å "utforske alle slags tilgangskontrollsystemer, RFID, radioprotokoller og feilsøke maskinvare ved hjelp av GPIO pinner." Techryptic brukte Flipper Zero til å kringkaste Bluetooth-annonser som brukes av Apple-enheter for å la brukere opprette tilkoblinger.
Techryptic sier at dette angrepet kan brukes bare som en spøk eller for sikkerhetsundersøkelser. Techryptic bemerket også at et fremtidig blogginnlegg vil forklare hvordan det kan brukes ondsinnet. Techryptics blogginnlegg sier at Flipper Zero har en begrenset rekkevidde, så en angriper må være i nærheten av målet. Men TechCrunch ble fortalt at en Flipper Zero kunne utstyres med et "forsterket brett" for å utvide rekkevidden til "tusenvis av fot."
Slik beskytter du deg mot falske Bluetooth-varsler
Techryptic la ikke merke til om Apple hadde blitt varslet om sikkerhetshullet. Med tanke på tonen i Techryptic-innlegget – det hadde tittelen “Irriterende Apple-fans” – mottok Apple sannsynligvis ikke varsel før innlegget. Vanligvis avslører ikke sikkerhetsforskere funnene sine før Apple har gitt ut en løsning.
TechCrunch rapporterer at Apple kan dempe angrepene "ved å sikre at Bluetooth-enhetene som kobles til en iPhone er legitime og gyldige, og også redusere avstanden som iDevices kan koble til andre enheter ved hjelp av Bluetooth." Med det i tankene er måten Apple implementerer en løsning på gjennom en iOS-oppdatering, så det er viktig å beholde iPhone oppdatert.
Men inntil Apple utsteder en løsning, er det viktig å huske på at dette angrepet er sjeldent fordi den eneste praktiske måten en bruker kan beskytte seg på er å slå av Bluetooth, noe som ikke er ideelt. Hvis du får et ukjent varsel om å koble til en enhet, vær forsiktig og ta forholdsregler – avslå forespørselen hvis du kan. Siden dette angrepet kan oversvømme iPhone med varsler, må du kanskje prøve å forlate området og slå av telefonen for å stoppe angrepet.