Riċerkatur tas-sigurtà ħareġ dettalji dwar bug tal-Apple HomeKit, li ċaħda ta 'servizz jista 'jikkawża fl-apparati IOS konnessi u jippersisti wara reboots. Ir-riċerkatur qal li rrapporta l-bug lil Apple f'Awwissu.
Ir-riċerkatur tas-sigurtà Trevor Spiniolas, li skopra l-bug, isejjaħ il-vulnerabbiltà Doorlock u jippubblika prova tal-kunċett fuq GitHub. Il-bug jinsab fl-API HomeKit ta' Apple għal tagħmir tad-dar intelliġenti. Il-bug iseħħ meta l-attakkanti jistabbilixxu apparat HomeKit b'isem twil, madwar 500,000 karattru. It-tagħmir tal-iOS li mbagħad jikkonnettja ma' dak it-tagħmir jieqfu jirrispondu, anke wara reboot. Meta l-utenti jirrestawraw apparat iOS għall-issettjar tal-fabbrika, iżda mbagħad idħol fil-iCloud kont assoċjat mal-apparat HomeKit, il-bug jerġa' jiġi attivat.
Spiniolas jirrapporta li kwalunkwe app tal-iOS b'aċċess għad-dejta tal-Apple Home tista' tibdel l-isem tal-apparat HomeKit. Apps bħal dawn jistgħu għalhekk jisfruttaw il-vulnerabbiltà. Apple introduċiet limitu fuq it-tul tal-ismijiet HomeKit f'iOS 15.1 u, skont ir-riċerkatur, seta' kien kmieni kemm 15.0, għalhekk dan m'għadux possibbli fuq apparati iOS aġġornati reċentement. Madankollu, apparati HomeKit li diġà ngħataw isem ġdid jistgħu xorta "jiffriżaw" apparati iOS li jħaddmu l-aktar verżjonijiet riċenti tal-iOS.
Ir-riċerkatur jenfasizza li huwa aktar probabbli li l-vulnerabbiltà tiġi sfruttata billi jinħoloq netwerk tad-Dar u jistieden lin-nies għalih permezz ta 'emails ta' phishing. Spiniolas jgħid li l-utenti jistgħu jiddefendu lilhom infushom kontra l-bug billi jinjoraw stediniet għal netwerks tad-Dar mhux magħrufa. Utenti tal-iOS li jużaw apparat HomeKit huma stess jistgħu jipproteġu lilhom infushom parzjalment billi jiskonnettjaw 'Uri l-Kontrolli tad-Dar' fiċ-Ċentru tal-Kontroll.
Spiniolas qal li rrapporta l-bug lil Apple fl-10 ta’ Awwissu. Skont ir-riċerkatur, Apple indikat li se toħroġ b’soluzzjoni “qabel l-2022”, iżda x-xahar li għadda aġġusta dan għal “kmieni fl-2022”, u wara Spiniolas qal lil Apple li hu. se jagħmel il-bug pubbliku kmieni fl-2022. Il-bug għadu ma ġiex solvut minn Apple. Ir-riċerkatur kien ikkuntattjat qabel dwar bug fil-macOS, li ġie mtaqqab fl-2019.
Spiniolas jemmen li Apple kienet bil-mod wisq biex tirrispondi għar-rapport inizjali tagħha. Ir-riċerkatur jaqsam emails ma 'The Verge, li fihom impjegat ta' Apple irrikonoxxa l-bug u talab lil Spiniolas biex ma jippubblikax dettalji dwar Doorlock sal-bidu tal-2022. Apple għadha ma kkummentatx pubblikament dwar ir-rilaxx.
Apple ilha kkritikata għall-programm bug bounty tagħha. Mill-kumpaniji ewlenin tat-teknoloġija, il-politika ta 'żvelar responsabbli ta' Apple hija l-iżgħar. Għalkemm Apple tagħti premjijiet relattivament għoljin, il-hackers etiċi ilhom snin jilmentaw dwar soluzzjonijiet bil-mod u notifiki li jidhru li jisparixxu fit-toqob suwed. diġà kiteb artiklu dwar dawk il-problemi s-sena l-oħra.