Bir təhlükəsizlik tədqiqatçısı Apple HomeKit səhvi haqqında təfərrüatları açıqladı xidmətdən imtina bağlı iOS cihazlarında səbəb ola bilər və yenidən başladıldıqdan sonra da davam edə bilər. Tədqiqatçı səhv barədə avqust ayında Apple-a məlumat verdiyini söylədi.
Təhlükəsizlik tədqiqatçısı Trevor SpiniolasBu səhvi aşkar edən , Doorlock zəifliyini çağırır və GitHub-da konsepsiyanın sübutunu dərc edir. Səhv ağıllı ev cihazları üçün Apple-ın HomeKit API-sindədir. Səhv, təcavüzkarlar təxminən 500,000 simvoldan ibarət uzun adı olan HomeKit cihazı qurduqda baş verir. Daha sonra həmin cihaza qoşulan iOS cihazları yenidən başladıldıqdan sonra belə cavab vermir. İstifadəçilər iOS cihazını zavod parametrlərinə bərpa etdikdə, lakin sonra iCloud HomeKit cihazı ilə əlaqəli hesab, səhv yenidən işə salınır.
Spiniolas bildirir ki, Apple Home məlumatlarına çıxışı olan istənilən iOS tətbiqi HomeKit cihazlarının adını dəyişə bilər. Belə proqramlar zəiflikdən istifadə edə bilər. Apple iOS 15.1-də HomeKit adlarının uzunluğuna məhdudiyyət tətbiq etdi və tədqiqatçının fikrincə, 15.0 kimi erkən ola bilər, ona görə də bu yaxınlarda yenilənmiş iOS cihazlarında bu artıq mümkün deyil. Bununla belə, artıq adı dəyişdirilmiş HomeKit cihazları ən son iOS versiyaları ilə işləyən iOS cihazlarını hələ də “dondura” bilər.
Tədqiqatçı vurğulayır ki, boşluqdan Home şəbəkəsi yaratmaq və fişinq e-poçtları vasitəsilə insanları ona dəvət etməklə istifadə etmək ehtimalı daha yüksəkdir. Spiniolas deyir ki, istifadəçilər naməlum Ev şəbəkələrinə dəvətlərə məhəl qoymadan özlərini səhvlərdən qoruya bilərlər. HomeKit cihazlarından istifadə edən iOS istifadəçiləri İdarəetmə Mərkəzində 'Ev İdarəetmələrini Göstər' funksiyasını söndürməklə özlərini qismən qoruya bilərlər.
Spiniolas, bu səhv barədə avqustun 10-da Apple-a məlumat verdiyini söylədi. Tədqiqatçının sözlərinə görə, Apple "2022-ci ildən əvvəl" bir düzəliş tapacağını bildirdi, lakin keçən ay bunu "2022-ci ilin əvvəlinə" uyğunlaşdırdı, bundan sonra Spiniolas Apple-a dedi ki, baq 2022-ci ilin əvvəlində ictimaiyyətə açıqlanacaq. Baq hələ Apple tərəfindən həll edilməyib. Tədqiqatçı ilə əvvəllər 2019-cu ildə yamaqlanan macOS-da səhvlə bağlı əlaqə saxlanılıb.
Spiniolas hesab edir ki, Apple ilk hesabatına cavab verməkdə çox ləng olub. Tədqiqatçı The Verge ilə e-poçtları paylaşır, burada bir Apple işçisi səhvi etiraf etdi və Spiniolas-dan 2022-ci ilin əvvəlinə qədər Doorlock haqqında təfərrüatları dərc etməməyi xahiş etdi. Apple hələ ki, buraxılış barədə ictimaiyyətə açıqlama verməyib.
Apple uzun müddətdir ki, səhv mükafat proqramına görə tənqid olunur. Böyük texnologiya şirkətləri arasında Apple-ın məsuliyyətli açıqlama siyasəti ən gəncidir. Apple nisbətən yüksək mükafatlar versə də, etik hakerlər illərdir yavaş düzəlişlər və qara dəliklərdə yoxa çıxan bildirişlərdən şikayətlənirlər. artıq keçən il həmin problemlər haqqında məqalə yazmışdı.