Istraživač sigurnosti objavio je detalje o grešci Apple HomeKit, koja uskraćivanje usluge može uzrokovati u povezanim iOS uređajima i nastavlja se nakon ponovnog pokretanja. Istraživač je rekao da je prijavio grešku Appleu u kolovozu.
Istraživač sigurnosti Trevor Spiniolas, koji je otkrio bug, ranjivost naziva Doorlock i objavljuje dokaz koncepta na GitHubu. Greška je u Appleovom HomeKit API-ju za pametne kućne uređaje. Greška se javlja kada napadači postave HomeKit uređaj s dugim nazivom, otprilike 500,000 znakova. iOS uređaji koji se zatim povežu s tim uređajem prestaju reagirati, čak i nakon ponovnog pokretanja. Kada korisnici vrate iOS uređaj na tvorničke postavke, ali se zatim prijave na iCloud računa povezanog s uređajem HomeKit, pogreška se ponovno pokreće.
Spiniolas izvještava da bilo koja iOS aplikacija s pristupom Apple Home podacima može preimenovati HomeKit uređaje. Takve aplikacije stoga mogu iskoristiti ranjivost. Apple je uveo ograničenje duljine naziva HomeKit u iOS-u 15.1 i, prema istraživaču, moglo je biti već u 15.0, tako da to više nije moguće na nedavno ažuriranim iOS uređajima. Međutim, HomeKit uređaji koji su već preimenovani još uvijek mogu "zamrznuti" iOS uređaje s najnovijim verzijama iOS-a.
Istraživač naglašava da je vjerojatnije da će se ranjivost iskoristiti stvaranjem kućne mreže i pozivanjem ljudi na nju putem phishing e-pošte. Spiniolas kaže da se korisnici mogu obraniti od buga ignoriranjem poziva na nepoznate kućne mreže. Korisnici iOS-a koji sami koriste HomeKit uređaje mogu se djelomično zaštititi tako da onemoguće 'Prikaži kućne kontrole' u Kontrolnom centru.
Spiniolas je rekao da je prijavio grešku Appleu 10. kolovoza. Prema istraživaču, Apple je naznačio da će smisliti popravak "prije 2022.", ali je prošli mjesec to prilagodio na "početak 2022.", nakon čega je Spiniolas rekao Appleu da će bug javno objaviti početkom 2022. Apple još nije riješio bug. Istraživača su prethodno kontaktirali u vezi s greškom u macOS-u, koja je zakrpana 2019.
Spiniolas vjeruje da je Apple bio prespor da odgovori na prvotno izvješće. Istraživač dijeli e-poruke s The Vergeom, u kojima je zaposlenik Applea priznao grešku i zamolio Spiniolasa da ne objavljuje detalje o Doorlocku do početka 2022. Apple još nije javno komentirao objavu.
Apple je dugo bio kritiziran zbog svog bug bounty programa. Od velikih tehnoloških kompanija, Appleova politika odgovornog otkrivanja podataka je najmlađa. Iako Apple daje relativno visoke nagrade, etički hakeri već se godinama žale na spore popravke i obavijesti koje kao da nestaju u crnim rupama. već je prošle godine napisao članak o tim problemima.