Apple HomeKit Bug könnte iOS-Geräte unbrauchbar machen

Ein Sicherheitsforscher hat Details zu einem Apple HomeKit-Fehler veröffentlicht, welche Denial of Service kann in verbundenen iOS-Geräten verursachen und bleibt nach Neustarts bestehen. Der Forscher sagte, er habe den Fehler im August an Apple gemeldet.

Sicherheitsforscher Trevor Spiniolas, wer hat den Fehler entdeckt, nennt die Schwachstelle Doorlock und veröffentlicht einen Proof-of-Concept auf GitHub. Der Fehler steckt in Apples HomeKit-API für Smart-Home-Geräte. Der Fehler tritt auf, wenn Angreifer ein HomeKit-Gerät mit einem langen Namen einrichten, CA 500,000 Zeichen. iOS-Geräte, die sich dann mit diesem Gerät verbinden, reagieren nicht mehr, auch nach einem Neustart. Wenn Benutzer ein iOS-Gerät auf die Werkseinstellungen zurücksetzen, aber melden Sie sich dann bei dem iCloud-Konto an, das mit dem HomeKit-Gerät verknüpft ist, der Fehler wird erneut ausgelöst.

Spiniolas berichtet, dass jede iOS-App mit Zugriff auf Apple Home-Daten HomeKit-Geräte umbenennen kann. Solche Apps können somit die Schwachstelle ausnutzen. Apple hat eine Begrenzung der Länge von HomeKit-Namen in iOS eingeführt 15.1 und, laut dem Forscher, vielleicht schon 15.0, Dies ist auf kürzlich aktualisierten iOS-Geräten nicht mehr möglich. jedoch, Bereits umbenannte HomeKit-Geräte können weiterhin “einfrieren” iOS-Geräte mit den neuesten iOS-Versionen.

Der Forscher betont, dass es wahrscheinlicher ist, dass die Schwachstelle ausgenutzt wird, indem ein Heimnetzwerk erstellt und per Phishing-E-Mails eingeladen wird. Spiniolas sagt, dass Benutzer sich gegen den Fehler verteidigen können, indem sie Einladungen in unbekannte Heimnetzwerke ignorieren. iOS-Benutzer, die selbst HomeKit-Geräte verwenden, können sich teilweise schützen, indem sie "Home Controls anzeigen" deaktivieren’ im Kontrollzentrum.

Spiniolas sagte, es habe den Fehler im August an Apple gemeldet 10. Laut dem Forscher, Apple hat angekündigt, dass es eine Lösung geben wird “vor 2022”, aber letzten Monat angepasst an “Anfang 2022”, Danach sagte Spiniolas Apple, dass er den Fehler früh veröffentlichen wird 2022. Der Fehler wurde von Apple noch nicht behoben. Der Forscher wurde zuvor wegen eines Fehlers in macOS kontaktiert, was eingeflickt wurde 2019.

Spiniolas glaubt, dass Apple zu langsam war, um auf seinen ersten Bericht zu reagieren. Der Forscher teilt E-Mails mit The Verge, in dem ein Apple-Mitarbeiter den Fehler bestätigte und Spiniolas bat, erst früh Details zu Doorlock zu veröffentlichen 2022. Apple hat sich noch nicht öffentlich zu der Veröffentlichung geäußert.

Apple steht seit langem für sein Bug-Bounty-Programm in der Kritik. Von den großen Technologieunternehmen, Die verantwortungsvolle Offenlegungsrichtlinie von Apple ist die jüngste. Obwohl Apple relativ hohe Belohnungen ausgibt, Ethische Hacker beschweren sich seit Jahren über langsame Fixes und Benachrichtigungen, die in schwarzen Löchern zu verschwinden scheinen. habe bereits letztes Jahr einen Artikel über diese Probleme geschrieben.