Egy biztonsági kutató részleteket közölt az Apple HomeKit hibájáról, amely szolgáltatás megtagadása a csatlakoztatott iOS-eszközökön okozhat, és újraindítás után is fennáll. A kutató elmondta, hogy augusztusban jelentette a hibát az Apple-nek.
Trevor Spiniolas biztonsági kutató, aki felfedezte a hibát, a sérülékenységet Doorlock-nak nevezi, és közzétesz egy bizonyítékot a GitHubon. A hiba az Apple intelligens otthoni eszközökhöz készült HomeKit API-jában található. A hiba akkor fordul elő, amikor a támadók hosszú névvel, körülbelül 500,000 XNUMX karakterből álló HomeKit-eszközt állítanak be. Az iOS-eszközök, amelyek ezután csatlakoznak az eszközhöz, még újraindítás után sem válaszolnak. Amikor a felhasználók visszaállítják egy iOS-eszköz gyári beállításait, majd bejelentkeznek az iCloud a HomeKit eszközhöz társított fiókot, a hiba újra aktiválódik.
A Spiniolas jelentése szerint bármely iOS-alkalmazás, amely hozzáfér az Apple Home adataihoz, átnevezheti a HomeKit-eszközöket. Az ilyen alkalmazások így kihasználhatják a biztonsági rést. Az Apple korlátozta a HomeKit nevek hosszát az iOS 15.1-ben, és a kutató szerint akár már 15.0 is lehetett, így a nemrég frissített iOS-eszközökön ez már nem lehetséges. A már átnevezett HomeKit eszközök azonban továbbra is „lefagyaszthatják” a legújabb iOS-verziókat futtató iOS-eszközöket.
A kutató hangsúlyozza: valószínűbb, hogy a biztonsági rést úgy fogják kihasználni, hogy otthoni hálózatot hoznak létre, és adathalász e-maileken keresztül hívják meg az embereket. Spiniolas szerint a felhasználók úgy védekezhetnek a hiba ellen, hogy figyelmen kívül hagyják az ismeretlen otthoni hálózatokra érkező meghívásokat. Az iOS-felhasználók, akik maguk is használnak HomeKit-eszközöket, részben megvédhetik magukat, ha letiltják az „Otthoni vezérlők megjelenítése” funkciót a Vezérlőközpontban.
Spiniolas azt mondta, hogy augusztus 10-én jelentette a hibát az Apple-nek. A kutató szerint az Apple jelezte, hogy „2022 előtt” elő fog állni egy javítással, de a múlt hónapban ezt „2022 elejére” igazította, majd Spiniolas azt mondta az Apple-nek, hogy 2022 elején nyilvánosságra hozza a hibát. A hibát még nem oldotta meg az Apple. A kutatót korábban megkeresték a macOS hibája miatt, amelyet 2019-ben javítottak ki.
Spiniolas úgy véli, az Apple túl lassú volt ahhoz, hogy reagáljon az első jelentésére. A kutató e-maileket oszt meg a The Verge-vel, amelyben egy Apple-alkalmazott elismerte a hibát, és arra kérte Spiniolast, hogy 2022 elejéig ne tegyen közzé részleteket a Doorlockról. Az Apple még nem kommentálta nyilvánosan a kiadást.
Az Apple-t régóta kritizálják a hibajavító programja miatt. A nagy technológiai cégek közül az Apple felelős közzétételi politikája a legfiatalabb. Bár az Apple viszonylag magas jutalmakat oszt ki, az etikus hackerek évek óta panaszkodnak a lassú javítások és értesítések miatt, amelyek úgy tűnik, eltűnnek a fekete lyukak között. Tavaly már írt egy cikket ezekről a problémákról.