Անվտանգության հետազոտողը մանրամասներ է հրապարակել Apple HomeKit սխալի մասին, որը ծառայության մերժում կարող է առաջացնել միացված iOS սարքերում և պահպանվում է վերաբեռնումից հետո: Հետազոտողն ասաց, որ նա Apple-ին հայտնել է սխալի մասին օգոստոսին:
Անվտանգության հետազոտող Թրեվոր Սպինիոլաս, ով հայտնաբերել է սխալը, խոցելիությունն անվանում է Doorlock և GitHub-ում հրապարակում է հայեցակարգի ապացույց: Սխալը Apple-ի HomeKit API-ում է՝ խելացի տնային սարքերի համար: Սխալը տեղի է ունենում, երբ հարձակվողները ստեղծեցին HomeKit սարքը երկար անունով, մոտավորապես 500,000 նիշ: iOS սարքերը, որոնք միանում են այդ սարքին, դադարում են արձագանքել նույնիսկ վերաբեռնումից հետո: Երբ օգտվողները վերականգնում են iOS սարքը գործարանային կարգավորումներին, բայց հետո մուտք են գործում iCloud HomeKit սարքի հետ կապված հաշիվը, վրիպակը նորից գործարկվում է:
Spiniolas-ը հայտնում է, որ ցանկացած iOS հավելված, որը հասանելի է Apple Home տվյալներին, կարող է վերանվանել HomeKit սարքերը: Այդպիսով, նման հավելվածները կարող են օգտագործել խոցելիությունը: Apple-ը iOS 15.1-ում ներկայացրել է HomeKit անունների երկարության սահմանափակում և, ըստ հետազոտողի, կարող էր լինել արդեն 15.0-ում, ուստի դա այլևս հնարավոր չէ վերջերս թարմացված iOS սարքերում: Այնուամենայնիվ, HomeKit սարքերը, որոնք արդեն վերանվանվել են, դեռ կարող են «սառեցնել» iOS սարքերը, որոնք աշխատում են iOS-ի ամենավերջին տարբերակներով:
Հետազոտողն ընդգծում է, որ ավելի հավանական է, որ խոցելիությունը կշահագործվի՝ ստեղծելով Home ցանց և մարդկանց այնտեղ հրավիրելով ֆիշինգ նամակների միջոցով։ Սպինիոլասն ասում է, որ օգտատերերը կարող են պաշտպանվել իրենց վրիպակից՝ անտեսելով անհայտ Home ցանցերի հրավերները: iOS-ի օգտատերերը, ովքեր իրենք օգտագործում են HomeKit սարքերը, կարող են մասամբ պաշտպանվել իրենց՝ անջատելով «Ցույց տալ տան կառավարումը» Control Center-ում:
Սպինիոլասը հայտնել է, որ սխալի մասին հայտնել է Apple-ին օգոստոսի 10-ին: Հետազոտողի խոսքով՝ Apple-ը նշել է, որ շտկելու է «մինչև 2022 թվականը», սակայն անցյալ ամիս դա հարմարեցրել է «2022 թվականի սկզբին», որից հետո Սպինիոլասն ասել է Apple-ին, որ ինքը սխալը կհրապարակվի 2022 թվականի սկզբին: Սխալը դեռևս չի լուծվել Apple-ի կողմից: Հետազոտողի հետ նախկինում կապ է հաստատվել macOS-ի սխալի մասին, որը կարկատվել է 2019 թվականին:
Սպինիոլասը կարծում է, որ Apple-ը չափազանց դանդաղ է արձագանքել իր նախնական զեկույցին: Հետազոտողը նամակներով կիսվում է The Verge-ի հետ, որտեղ Apple-ի աշխատակիցն ընդունել է սխալը և խնդրել Սպինիոլասին չհրապարակել Doorlock-ի մասին մանրամասներ մինչև 2022 թվականի սկիզբը: Apple-ը դեռ հրապարակայնորեն չի մեկնաբանել թողարկումը:
Apple-ը երկար ժամանակ քննադատության է ենթարկվում իր bug bounty ծրագրի համար: Խոշոր տեխնոլոգիական ընկերություններից Apple-ի պատասխանատու բացահայտման քաղաքականությունը ամենաերիտասարդն է: Չնայած Apple-ը տալիս է համեմատաբար բարձր պարգևներ, էթիկական հաքերները տարիներ շարունակ բողոքում են դանդաղ շտկումներից և ծանուցումներից, որոնք կարծես անհետանում են սև խոռոչներում: անցյալ տարի արդեն հոդված է գրել այդ խնդիրների մասին։