El error de Apple HomeKit podría inutilizar los dispositivos iOS

Un investigador de seguridad ha publicado detalles sobre un error de Apple HomeKit, cual negación de servicio puede causar en los dispositivos iOS conectados y persiste después de reiniciar. El investigador dijo que informó del error a Apple en agosto..

Investigador de seguridad Trevor Spiniolas, quien descubrió el error, llama a la vulnerabilidad Doorlock y publica una prueba de concepto en GitHub. El error está en la API HomeKit de Apple para dispositivos domésticos inteligentes. El error ocurre cuando los atacantes configuran un dispositivo HomeKit con un nombre largo, aproximadamente 500,000 caracteres. Los dispositivos iOS que luego se conectan a ese dispositivo dejan de responder, incluso después de un reinicio. Cuando los usuarios restauran un dispositivo iOS a la configuración de fábrica, pero luego inicie sesión en la cuenta de iCloud asociada con el dispositivo HomeKit, el error se vuelve a activar.

Spiniolas informa que cualquier aplicación de iOS con acceso a los datos de Apple Home puede cambiar el nombre de los dispositivos HomeKit. Por tanto, estas aplicaciones pueden aprovechar la vulnerabilidad. Apple introdujo un límite en la longitud de los nombres de HomeKit en iOS 15.1 y, según el investigador, puede haber sido tan temprano como 15.0, por lo que esto ya no es posible en dispositivos iOS recientemente actualizados. sin embargo, Los dispositivos HomeKit que ya han cambiado de nombre aún pueden “congelar” Dispositivos iOS que ejecutan las versiones de iOS más recientes..

El investigador enfatiza que es más probable que la vulnerabilidad sea explotada creando una red doméstica e invitando a la gente a ella a través de correos electrónicos de phishing.. Spiniolas dice que los usuarios pueden defenderse del error ignorando las invitaciones a redes domésticas desconocidas. Los usuarios de iOS que utilizan los dispositivos HomeKit ellos mismos pueden protegerse en parte desactivando "Mostrar controles del hogar’ en el Centro de control.

Spiniolas dijo que informó del error a Apple en agosto 10. Según el investigador, Apple indicó que propondría una solución “antes de 2022”, pero el mes pasado ajustó esto a “principios de 2022”, después de lo cual Spiniolas le dijo a Apple que haría público el error a principios de 2022. Apple aún no ha resuelto el error. El investigador fue contactado previamente por un error en macOS., que fue parcheado en 2019.

Spiniolas cree que Apple fue demasiado lento para responder a su informe inicial. El investigador comparte correos electrónicos con The Verge., en el que un empleado de Apple reconoció el error y le pidió a Spiniolas que no publicara detalles sobre Doorlock hasta temprano 2022. Apple aún no ha comentado públicamente sobre el lanzamiento..

Apple ha sido criticada durante mucho tiempo por su programa de recompensas por errores. De las principales empresas tecnológicas, La política de divulgación responsable de Apple es la más reciente. Aunque Apple otorga recompensas relativamente altas, Los piratas informáticos éticos se han quejado durante años de correcciones lentas y notificaciones que parecen desaparecer en agujeros negros.. Ya escribí un artículo sobre esos problemas el año pasado..