Turvateadlane avaldas üksikasjad Apple HomeKiti vea kohta, mis teenuse keelamine võib põhjustada ühendatud iOS-i seadmetes ja püsib pärast taaskäivitamist. Teadlase sõnul teatas ta veast Apple'ile augustis.
Turvateadlane Trevor Spiniolas, kes vea avastas, nimetab haavatavust Doorlockiks ja avaldab GitHubis kontseptsiooni tõendi. Viga on Apple'i HomeKiti API-s nutikate koduseadmete jaoks. Viga ilmneb siis, kui ründajad seadistavad HomeKiti seadme, millel on pikk nimi, umbes 500,000 XNUMX tähemärki. iOS-i seadmed, mis seejärel selle seadmega ühenduse loovad, lakkavad reageerimast isegi pärast taaskäivitamist. Kui kasutajad taastavad iOS-i seadme tehaseseadetele, kuid logivad seejärel sisse iCloud HomeKiti seadmega seotud konto, käivitatakse viga uuesti.
Spiniolas teatab, et iga iOS-i rakendus, millel on juurdepääs Apple Home'i andmetele, saab HomeKiti seadmeid ümber nimetada. Sellised rakendused saavad seega haavatavust ära kasutada. Apple kehtestas iOS 15.1-s HomeKiti nimede pikkuse piirangu ja teadlase sõnul võis see olla juba 15.0, nii et hiljuti uuendatud iOS-i seadmetes pole see enam võimalik. HomeKiti seadmed, mis on juba ümber nimetatud, võivad siiski "külmutada" iOS-i seadmed, mis töötavad iOS-i uusimate versioonidega.
Uurija rõhutab, et suurema tõenäosusega hakatakse haavatavust ära kasutama Koduvõrku luues ja sinna inimesi andmepüügimeilide kaudu kutsudes. Spiniolase sõnul saavad kasutajad end vea eest kaitsta, ignoreerides kutseid tundmatutesse koduvõrkudesse. iOS-i kasutajad, kes kasutavad ise HomeKiti seadmeid, saavad end osaliselt kaitsta, kui keelavad juhtimiskeskuses valiku „Kuva kodu juhtelemendid”.
Spiniolas teatas, et teatas veast Apple'ile 10. augustil. Uurija sõnul andis Apple teada, et tuleb parandusega välja "enne 2022. aastat", kuid eelmisel kuul kohandas seda "2022. aasta alguseks", misjärel Spiniolas ütles Apple'ile, et ta teeb vea avalikuks 2022. aasta alguses. Apple pole seda viga veel lahendanud. Teadlasega võeti varem ühendust macOS-i vea pärast, mis paigati 2019. aastal.
Spiniolas usub, et Apple oli oma esialgsele raportile vastamiseks liiga aeglane. Teadlane jagab The Verge'iga e-kirju, milles Apple'i töötaja tunnistas viga ja palus Spiniolasel mitte avaldada Doorlocki kohta üksikasju enne 2022. aasta algust. Apple ei ole veel väljaannet avalikult kommenteerinud.
Apple'i on pikka aega kritiseeritud selle veatoetusprogrammi pärast. Suurtest tehnoloogiaettevõtetest on Apple'i vastutustundlik avalikustamispoliitika noorim. Kuigi Apple jagab suhteliselt kõrgeid tasusid, on eetilised häkkerid aastaid kurtnud aeglaste paranduste ja teatiste üle, mis näivad mustadesse aukudesse kaduvat. kirjutas juba eelmisel aastal nendest probleemidest artikli.