Öryggisrannsakandi hefur gefið út upplýsingar um Apple HomeKit villu, sem afneitun þjónustu getur valdið í tengdum iOS tækjum og er viðvarandi eftir endurræsingu. Rannsakandi sagðist hafa tilkynnt Apple um villuna í ágúst.
Öryggisrannsakandi Trevor Spiniolas, sem uppgötvaði villuna, kallar varnarleysið Doorlock og birtir sönnunargögn á GitHub. Villan er í HomeKit API frá Apple fyrir snjallheimilistæki. Villan kemur upp þegar árásarmenn setja upp HomeKit tæki með langt nafn, um það bil 500,000 stafir. iOS tæki sem síðan tengjast því tæki hætta að svara, jafnvel eftir endurræsingu. Þegar notendur endurheimta iOS tæki í verksmiðjustillingar, en skrá sig síðan inn á iCloud reikning sem tengist HomeKit tækinu, er villan endurræst.
Spiniolas greinir frá því að hvaða iOS forrit sem er með aðgang að Apple Home gögnum geti endurnefna HomeKit tæki. Slík forrit geta þannig nýtt sér varnarleysið. Apple setti takmörk á lengd HomeKit nöfn í iOS 15.1 og, samkvæmt rannsakanda, gæti það hafa verið eins snemma og 15.0, svo þetta er ekki lengur mögulegt á nýlega uppfærðum iOS tækjum. Hins vegar geta HomeKit tæki sem þegar hefur verið endurnefna samt „fryst“ iOS tæki sem keyra nýjustu iOS útgáfurnar.
Rannsakandi leggur áherslu á að líklegra sé að varnarleysið verði nýtt með því að búa til heimanet og bjóða fólki í það með vefveiðum. Spiniolas segir að notendur geti varið sig gegn villunni með því að hunsa boð til óþekkt heimanet. iOS notendur sem nota HomeKit tæki sjálfir geta verndað sig að hluta með því að slökkva á „Sýna heimastýringar“ í stjórnstöðinni.
Spiniolas sagði að það tilkynnti Apple um villuna þann 10. ágúst. Samkvæmt rannsakanda gaf Apple til kynna að það myndi koma með lagfæringu „fyrir 2022“ en í síðasta mánuði breytti þetta í „snemma 2022“, eftir það sagði Spiniolas Apple að hann mun gera villuna opinbera snemma árs 2022. Apple hefur ekki enn leyst villuna. Áður var haft samband við rannsakandann vegna villu í macOS, sem var lagfærður árið 2019.
Spiniolas telur að Apple hafi verið of seint til að bregðast við fyrstu skýrslu sinni. Rannsakandi deilir tölvupóstum með The Verge, þar sem starfsmaður Apple viðurkenndi villuna og bað Spiniolas að birta ekki upplýsingar um Doorlock fyrr en snemma árs 2022. Apple hefur ekki enn tjáð sig opinberlega um útgáfuna.
Apple hefur lengi verið gagnrýnt fyrir villufjármagnsáætlun sína. Af helstu tæknifyrirtækjum er ábyrg upplýsingastefna Apple yngst. Þrátt fyrir að Apple veiti tiltölulega há verðlaun hafa siðferðilegir tölvuþrjótar kvartað í mörg ár yfir hægum lagfæringum og tilkynningum sem virðast hverfa í svarthol. skrifaði þegar grein um þau vandamál á síðasta ári.