Një studiues sigurie ka publikuar detaje rreth një defekti të Apple HomeKit, i cili mohimi i shërbimit mund të shkaktojë në pajisjet e lidhura iOS dhe vazhdon pas rindezjes. Studiuesi tha se ai e raportoi defektin tek Apple në gusht.
Studiuesi i sigurisë Trevor Spiniolas, i cili zbuloi gabimin, e quan cenueshmërinë Doorlock dhe publikon një provë të konceptit në GitHub. Defekti gjendet në HomeKit API të Apple për pajisjet inteligjente shtëpiake. Defekti ndodh kur sulmuesit vendosin një pajisje HomeKit me një emër të gjatë, afërsisht 500,000 karaktere. Pajisjet iOS që më pas lidhen me atë pajisje nuk reagojnë më, edhe pas një rindezjeje. Kur përdoruesit rivendosin një pajisje iOS në cilësimet e fabrikës, por më pas identifikohen në iCloud llogaria e lidhur me pajisjen HomeKit, defekti rikthehet.
Spiniolas raporton se çdo aplikacion iOS me akses në të dhënat e Apple Home mund të riemërtojë pajisjet HomeKit. Kështu, aplikacione të tilla mund të shfrytëzojnë dobësinë. Apple prezantoi një kufi në gjatësinë e emrave të HomeKit në iOS 15.1 dhe, sipas studiuesit, mund të ketë qenë që në 15.0, kështu që kjo nuk është më e mundur në pajisjet iOS të përditësuara së fundmi. Sidoqoftë, pajisjet HomeKit që tashmë janë riemërtuar mund të "ngrijnë" pajisjet iOS që përdorin versionet më të fundit të iOS.
Studiuesi thekson se ka më shumë gjasa që dobësia të shfrytëzohet duke krijuar një rrjet Home dhe duke ftuar njerëzit në të nëpërmjet emaileve phishing. Spiniolas thotë se përdoruesit mund të mbrohen kundër defektit duke injoruar ftesat në rrjete të panjohura Home. Përdoruesit e iOS që përdorin vetë pajisjet HomeKit mund të mbrohen pjesërisht duke çaktivizuar "Trego kontrollet e shtëpisë" në Qendrën e Kontrollit.
Spiniolas tha se e raportoi gabimin tek Apple më 10 gusht. Sipas studiuesit, Apple tregoi se do të dilte me një rregullim "para 2022", por muajin e kaluar e rregulloi këtë në "fillim të vitit 2022", pas së cilës Spiniolas i tha Apple se ai do ta bëjë publik defektin në fillim të vitit 2022. Defekti nuk është zgjidhur ende nga Apple. Studiuesi ishte kontaktuar më parë për një gabim në macOS, i cili u rregullua në 2019.
Spiniolas beson se Apple ishte shumë i ngadalshëm për t'iu përgjigjur raportit të saj fillestar. Studiuesi ndan email me The Verge, në të cilin një punonjës i Apple pranoi gabimin dhe i kërkoi Spiniolas të mos publikonte detaje rreth Doorlock deri në fillim të vitit 2022. Apple ende nuk ka komentuar publikisht për lëshimin.
Apple është kritikuar prej kohësh për programin e saj të shpërblimit të gabimeve. Nga kompanitë kryesore të teknologjisë, politika përgjegjëse e zbulimit të Apple është më e reja. Megjithëse Apple jep shpërblime relativisht të larta, hakerat etikë janë ankuar për vite me radhë për rregullime të ngadalta dhe njoftime që duket se zhduken në vrimat e zeza. tashmë ka shkruar një artikull për këto probleme vitin e kaluar.