Un ricercatore di sicurezza ha rilasciato dettagli su un bug di Apple HomeKit, che negazione del servizio può causare nei dispositivi iOS collegati e persiste dopo il riavvio. Il ricercatore ha affermato di aver segnalato il bug ad Apple ad agosto.
Il ricercatore sulla sicurezza Trevor Spiniolas, che ha scoperto il bug, chiama la vulnerabilità Doorlock e pubblica un proof-of-concept su GitHub. Il bug è nell'API HomeKit di Apple per dispositivi domestici intelligenti. Il bug si verifica quando gli aggressori configurano un dispositivo HomeKit con un nome lungo, circa 500,000 caratteri. I dispositivi iOS che si connettono a quel dispositivo smettono di rispondere, anche dopo un riavvio. Quando gli utenti ripristinano un dispositivo iOS alle impostazioni di fabbrica, ma accedono a iCloud account associato al dispositivo HomeKit, il bug viene riattivato.
Spiniolas segnala che qualsiasi app iOS con accesso ai dati di Apple Home può rinominare i dispositivi HomeKit. Tali app possono quindi sfruttare la vulnerabilità. Apple ha introdotto un limite alla lunghezza dei nomi HomeKit in iOS 15.1 e, secondo il ricercatore, potrebbe essere stato già 15.0, quindi questo non è più possibile sui dispositivi iOS aggiornati di recente. Tuttavia, i dispositivi HomeKit che sono già stati rinominati possono ancora "bloccare" i dispositivi iOS che eseguono le versioni iOS più recenti.
Il ricercatore sottolinea che è più probabile che la vulnerabilità venga sfruttata creando una rete domestica e invitando le persone ad essa tramite e-mail di phishing. Spiniolas afferma che gli utenti possono difendersi dal bug ignorando gli inviti a reti domestiche sconosciute. Gli utenti iOS che utilizzano i dispositivi HomeKit stessi possono proteggersi in parte disabilitando "Mostra controlli domestici" nel Centro di controllo.
Spiniolas ha detto di aver segnalato il bug ad Apple il 10 agosto. Secondo il ricercatore, Apple ha indicato che avrebbe trovato una soluzione "prima del 2022", ma il mese scorso l'ha adattata all'"inizio del 2022", dopodiché Spiniolas ha detto ad Apple di aver renderà pubblico il bug all'inizio del 2022. Il bug non è stato ancora risolto da Apple. Il ricercatore è stato precedentemente contattato per un bug in macOS, che è stato corretto nel 2019.
Spiniolas ritiene che Apple sia stata troppo lenta per rispondere al suo rapporto iniziale. Il ricercatore condivide e-mail con The Verge, in cui un dipendente Apple ha riconosciuto il bug e ha chiesto a Spiniolas di non pubblicare i dettagli su Doorlock fino all'inizio del 2022. Apple non ha ancora commentato pubblicamente il rilascio.
Apple è stata a lungo criticata per il suo programma di ricompense di bug. Tra le principali società tecnologiche, la politica di divulgazione responsabile di Apple è la più giovane. Sebbene Apple dia ricompense relativamente elevate, gli hacker etici si lamentano da anni di correzioni lente e notifiche che sembrano scomparire nei buchi neri. già scritto un articolo su quei problemi l'anno scorso.