Segurtasun ikertzaile batek Apple HomeKit akats bati buruzko xehetasunak kaleratu ditu zerbitzua ukatzea konektatutako iOS gailuetan eragin dezake eta berrabiarazi ondoren irauten du. Ikertzaileak esan zuen akatsaren berri eman ziola Appleri abuztuan.
Trevor Spiniolas segurtasun ikertzaileaakatsa aurkitu zuenak, Doorlock deitzen dio ahultasunari eta GitHub-en kontzeptu-froga bat argitaratzen du. Akatsa Apple-ren HomeKit APIan dago etxeko gailu adimendunetarako. Akatsa gertatzen da erasotzaileek HomeKit gailu bat konfiguratzen dutenean, gutxi gorabehera 500,000 karaktere dituen izen luzea duena. Gailu horretara konektatzen diren iOS gailuek erantzuten uzten diote, berrabiarazi ondoren ere. Erabiltzaileek iOS gailu bat fabrikako ezarpenetara leheneratzen dutenean, baina gero saioa hasi iCloud HomeKit gailuarekin lotutako kontua, akatsa berriro abiarazten da.
Spiniolas-ek jakinarazi du Apple Home datuetarako sarbidea duen iOS edozein aplikaziok HomeKit gailuak izena alda dezakeela. Horrelako aplikazioek ahultasuna ustiatu dezakete. Apple-k HomeKit-en izenen iraupenaren muga ezarri zuen iOS 15.1-en eta, ikertzailearen arabera, baliteke 15.0 baino lehenagokoa izatea, beraz, hori ez da posible berriki eguneratutako iOS gailuetan. Hala ere, dagoeneko izena aldatu duten HomeKit gailuek iOS bertsio berrienak dituzten iOS gailuak "izoztu" ditzakete.
Ikertzaileak azpimarratzen du litekeena dela ahultasuna aprobetxatzea Etxeko sare bat sortuz eta jendea bertara phishing mezuen bidez gonbidatuz. Spiniolasek dio erabiltzaileek akatsaren aurka defenda dezaketela Etxeko sare ezezagunetarako gonbidapenak alde batera utzita. HomeKit gailuak erabiltzen dituzten iOS erabiltzaileek neurri batean babes dezakete Kontrol Zentroan "Erakutsi etxeko kontrolak" desgaituta.
Spiniolas-ek esan zuen akatsaren berri eman ziola Appleri abuztuaren 10ean. Ikertzailearen arabera, Apple-k adierazi zuen "2022 baino lehen" konponketa bat egingo zuela, baina joan den hilean "2022. urtearen hasieran" egokitu zuen, eta ondoren Spiniolasek Apple-ri esan zion akatsa 2022 hasieran publiko egingo du. Akatsa oraindik ez du Applek konpondu. Aurretik ikertzailea macOS-en akats bati buruz jarri zen harremanetan, 2019an adabakia izan zena.
Spiniolasek uste du Apple motelegi izan zela bere hasierako txostenari erantzuteko. Ikertzaileak mezu elektronikoak partekatzen ditu The Verge-rekin, eta bertan Apple-ko langile batek akatsa aitortu zuen eta Spiniolasi eskatu zion Doorlock-i buruzko xehetasunak ez argitaratzeko 2022. urtearen hasierara arte. Applek oraindik ez du publikoki iruzkinik egin oharra.
Apple aspaldi kritikatu da akatsen sarirako programagatik. Teknologia-enpresa nagusien artean, Appleren dibulgazio-politika arduratsua da gazteena. Applek sari altu samarrak ematen baditu ere, hacker etikoek urteak daramatzate zulo beltzetan desagertzen direla dirudien konponketa motelengatik eta jakinarazpenengatik kexatzen. iaz arazo horiei buruzko artikulu bat idatzi zuen jada.