En säkerhetsforskare har släppt detaljer om en Apple HomeKit-bugg, som förnekande av tjänsten kan orsaka i anslutna iOS-enheter och kvarstår efter omstart. Forskaren sa att han rapporterade felet till Apple i augusti.
Säkerhetsforskaren Trevor Spiniolas, som upptäckte buggen, kallar sårbarheten Doorlock och publicerar ett proof-of-concept på GitHub. Felet finns i Apples HomeKit API för smarta hemenheter. Felet uppstår när angripare ställer in en HomeKit-enhet med ett långt namn, cirka 500,000 XNUMX tecken. iOS-enheter som sedan ansluter till den enheten slutar svara, även efter en omstart. När användare återställer en iOS-enhet till fabriksinställningar, men sedan loggar in på iCloud konto som är kopplat till HomeKit-enheten, utlöses buggen igen.
Spiniolas rapporterar att alla iOS-appar med tillgång till Apple Home-data kan byta namn på HomeKit-enheter. Sådana appar kan alltså utnyttja sårbarheten. Apple införde en gräns för längden på HomeKit-namn i iOS 15.1 och kan, enligt forskaren, ha varit så tidigt som 15.0, så detta är inte längre möjligt på nyligen uppdaterade iOS-enheter. Men HomeKit-enheter som redan har bytt namn kan fortfarande "frysa" iOS-enheter som kör de senaste iOS-versionerna.
Forskaren betonar att det är mer sannolikt att sårbarheten kommer att utnyttjas genom att skapa ett hemnätverk och bjuda in människor till det via nätfiske-e-post. Spiniolas säger att användare kan försvara sig mot buggen genom att ignorera inbjudningar till okända hemnätverk. iOS-användare som själva använder HomeKit-enheter kan skydda sig delvis genom att inaktivera "Visa hemkontroller" i kontrollcenter.
Spiniolas sa att de rapporterade felet till Apple den 10 augusti. Enligt forskaren indikerade Apple att det skulle komma med en fix "före 2022", men förra månaden justerade detta till "tidigt 2022", varefter Spiniolas berättade för Apple att han kommer att offentliggöra felet i början av 2022. Felet har ännu inte lösts av Apple. Forskaren har tidigare kontaktats om en bugg i macOS, som korrigerades 2019.
Spiniolas anser att Apple var för långsam med att svara på sin första rapport. Forskaren delar mejl med The Verge, där en Apple-anställd erkände buggen och bad Spiniolas att inte publicera detaljer om Doorlock förrän i början av 2022. Apple har ännu inte offentligt kommenterat releasen.
Apple har länge kritiserats för sitt bug-bounty-program. Av de stora teknikföretagen är Apples policy för ansvarsfull avslöjande den yngsta. Även om Apple delar ut relativt höga belöningar, har etiska hackare klagat i flera år på långsamma korrigeringar och meddelanden som verkar försvinna i svarta hål. skrev redan en artikel om de problemen förra året.