Een beveiligingsonderzoeker heeft details vrijgegeven over een Apple HomeKit-bug, die denial of service kan veroorzaken in aangesloten iOS-apparaten en blijft bestaan na opnieuw opstarten. De onderzoeker zei de bug in augustus bij Apple te hebben gemeld.
Beveiligingsonderzoeker Trevor Spiniolas, die de bug ontdekte, noemt de kwetsbaarheid Doorlock en publiceert een proof-of-concept op GitHub. De bug zit in Apple's HomeKit API voor smart home-apparaten. De bug treedt op wanneer aanvallers een HomeKit-apparaat instellen met een lange naam, ongeveer 500,000 tekens. iOS-apparaten die vervolgens verbinding maken met dat apparaat, reageren niet meer, zelfs niet na een herstart. Wanneer gebruikers een iOS-apparaat terugzetten naar de fabrieksinstellingen, maar vervolgens inloggen op de iCloud account dat is gekoppeld aan het HomeKit-apparaat, wordt de bug opnieuw geactiveerd.
Spiniolas meldt dat elke iOS-app met toegang tot Apple Home-gegevens HomeKit-apparaten kan hernoemen. Dergelijke apps kunnen dus misbruik maken van de kwetsbaarheid. Apple introduceerde een limiet op de lengte van HomeKit-namen in iOS 15.1 en was volgens de onderzoeker mogelijk al in 15.0, dus dit is niet meer mogelijk op recent bijgewerkte iOS-apparaten. HomeKit-apparaten die al zijn hernoemd, kunnen echter nog steeds iOS-apparaten met de meest recente iOS-versies "bevriezen".
De onderzoeker benadrukt dat de kans groter is dat de kwetsbaarheid wordt uitgebuit door een Thuisnetwerk te creëren en mensen daarvoor uit te nodigen via phishingmails. Spiniolas zegt dat gebruikers zich tegen de bug kunnen verdedigen door uitnodigingen voor onbekende thuisnetwerken te negeren. iOS-gebruikers die zelf HomeKit-apparaten gebruiken, kunnen zichzelf gedeeltelijk beschermen door 'Toon Home Controls' in het Control Center uit te schakelen.
Spiniolas zei de bug op 10 augustus bij Apple te hebben gemeld. Volgens de onderzoeker gaf Apple aan "vóór 2022" met een fix te komen, maar heeft dit vorige maand aangepast naar "begin 2022", waarna Spiniolas tegen Apple zei dat hij zal de bug begin 2022 openbaar maken. De bug is nog niet opgelost door Apple. De onderzoeker is eerder benaderd over een bug in macOS, die in 2019 is gepatcht.
Spiniolas vindt dat Apple te traag reageerde op zijn eerste rapport. De onderzoeker deelt e-mails met The Verge, waarin een Apple-medewerker de bug erkende en Spiniolas vroeg om pas begin 2022 details over Doorlock te publiceren. Apple heeft nog niet publiekelijk gereageerd op de release.
Apple is al lang bekritiseerd vanwege zijn bug bounty-programma. Van de grote technologiebedrijven is het beleid inzake verantwoorde openbaarmaking van Apple het jongste. Hoewel Apple relatief hoge beloningen uitdeelt, klagen ethische hackers al jaren over trage oplossingen en meldingen die in zwarte gaten lijken te verdwijnen. schreef vorig jaar al een artikel over die problemen.