एक सुरक्षा शोधकर्ता ने Apple HomeKit बग के बारे में विवरण जारी किया है, जो सेवा से वंचित करना कनेक्टेड iOS डिवाइस में कारण बन सकता है और रिबूट के बाद भी बना रहता है। शोधकर्ता ने कहा कि उन्होंने अगस्त में ऐप्पल को बग की सूचना दी थी।
सुरक्षा शोधकर्ता ट्रेवर स्पिनियोलास, जिसने बग की खोज की, भेद्यता डोरलॉक को कॉल करता है और GitHub पर एक प्रूफ-ऑफ-कॉन्सेप्ट प्रकाशित करता है। यह बग स्मार्ट घरेलू उपकरणों के लिए Apple के HomeKit API में है। बग तब होता है जब हमलावर होमकिट डिवाइस को एक लंबे नाम के साथ सेट करते हैं, लगभग 500,000 वर्ण। आईओएस डिवाइस जो उस डिवाइस से कनेक्ट होते हैं, रीबूट के बाद भी प्रतिक्रिया देना बंद कर देते हैं। जब उपयोगकर्ता किसी iOS डिवाइस को फ़ैक्टरी सेटिंग पर पुनर्स्थापित करते हैं, लेकिन फिर i . में लॉग इन करते हैंCloud HomeKit डिवाइस से जुड़े खाते में, बग को फिर से ट्रिगर किया जाता है।
स्पिनियोलास रिपोर्ट करता है कि ऐप्पल होम डेटा तक पहुंच वाला कोई भी आईओएस ऐप होमकिट डिवाइस का नाम बदल सकता है। ऐसे ऐप्स इस प्रकार भेद्यता का फायदा उठा सकते हैं। ऐप्पल ने आईओएस 15.1 में होमकिट नामों की लंबाई पर एक सीमा पेश की और शोधकर्ता के मुताबिक, 15.0 के रूप में हो सकता है, इसलिए हाल ही में अपडेट किए गए आईओएस उपकरणों पर यह संभव नहीं है। हालाँकि, HomeKit डिवाइस जिनका पहले ही नाम बदल दिया गया है, वे अभी भी नवीनतम iOS संस्करण चलाने वाले iOS डिवाइस को "फ्रीज" कर सकते हैं।
शोधकर्ता इस बात पर जोर देता है कि होम नेटवर्क बनाकर और फ़िशिंग ईमेल के माध्यम से लोगों को इसमें आमंत्रित करके भेद्यता का फायदा उठाने की अधिक संभावना है। स्पिनियोलास का कहना है कि उपयोगकर्ता अज्ञात होम नेटवर्क के आमंत्रणों को अनदेखा करके बग से अपना बचाव कर सकते हैं। आईओएस उपयोगकर्ता जो होमकिट उपकरणों का उपयोग स्वयं करते हैं, वे नियंत्रण केंद्र में 'होम कंट्रोल दिखाएं' को अक्षम करके अपनी सुरक्षा कर सकते हैं।
स्पिनिओलास ने कहा कि उसने 10 अगस्त को ऐप्पल को बग की सूचना दी। शोधकर्ता के अनुसार, ऐप्पल ने संकेत दिया कि यह "2022 से पहले" एक फिक्स के साथ आएगा, लेकिन पिछले महीने इसे "2022 की शुरुआत" में समायोजित किया गया, जिसके बाद स्पिनियोलास ने ऐप्पल को बताया कि वह बग को 2022 की शुरुआत में सार्वजनिक करेगा। बग को अभी तक Apple द्वारा हल नहीं किया गया है। शोधकर्ता से पहले macOS में एक बग के बारे में संपर्क किया गया था, जिसे 2019 में पैच किया गया था।
स्पिनियोलास का मानना है कि ऐप्पल अपनी प्रारंभिक रिपोर्ट का जवाब देने में बहुत धीमा था। शोधकर्ता द वर्ज के साथ ईमेल साझा करता है, जिसमें एक ऐप्पल कर्मचारी ने बग को स्वीकार किया और स्पिनियोलास को 2022 की शुरुआत तक डोरलॉक के बारे में विवरण प्रकाशित नहीं करने के लिए कहा। ऐप्पल ने अभी तक सार्वजनिक रूप से रिलीज पर टिप्पणी नहीं की है।
बग बाउंटी प्रोग्राम के लिए Apple की लंबे समय से आलोचना हो रही है। प्रमुख टेक कंपनियों में से, Apple की जिम्मेदार प्रकटीकरण नीति सबसे कम उम्र की है। हालाँकि Apple अपेक्षाकृत उच्च पुरस्कार देता है, एथिकल हैकर्स वर्षों से धीमी गति से सुधार और सूचनाओं के बारे में शिकायत कर रहे हैं जो ब्लैक होल में गायब हो जाते हैं। पिछले साल उन समस्याओं के बारे में पहले ही एक लेख लिखा था।