Bir güvenlik araştırmacısı, bir Apple HomeKit hatasıyla ilgili ayrıntıları yayınladı. hizmet reddi bağlı iOS cihazlarında neden olabilir ve yeniden başlatmalardan sonra devam eder. Araştırmacı, hatayı Ağustos ayında Apple'a bildirdiğini söyledi.
Güvenlik araştırmacısı Trevor Spiniolashatayı keşfeden , güvenlik açığını Doorlock olarak adlandırır ve GitHub'da bir kavram kanıtı yayınlar. Hata, akıllı ev cihazları için Apple'ın HomeKit API'sinde. Hata, saldırganlar yaklaşık 500,000 karakterlik uzun bir ada sahip bir HomeKit cihazı kurduğunda ortaya çıkıyor. Daha sonra bu aygıta bağlanan iOS aygıtları, yeniden başlatmanın ardından bile yanıt vermiyor. Kullanıcılar bir iOS cihazını fabrika ayarlarına geri yüklediğinde, ancak daha sonra iCloud HomeKit cihazıyla ilişkili hesap, hata yeniden tetiklenir.
Spiniolas, Apple Home verilerine erişimi olan herhangi bir iOS uygulamasının HomeKit cihazlarını yeniden adlandırabileceğini bildiriyor. Bu tür uygulamalar bu nedenle güvenlik açığından yararlanabilir. Apple, iOS 15.1'de HomeKit adlarının uzunluğuna bir sınır getirdi ve araştırmacıya göre, 15.0 kadar erken olabilir, bu nedenle yakın zamanda güncellenen iOS cihazlarında bu artık mümkün değil. Ancak, halihazırda yeniden adlandırılmış olan HomeKit cihazları, en yeni iOS sürümlerini çalıştıran iOS cihazlarını yine de "dondurabilir".
Araştırmacı, bir Ev ağı oluşturarak ve kimlik avı e-postaları yoluyla insanları davet ederek güvenlik açığından yararlanmanın daha olası olduğunu vurguluyor. Spiniolas, kullanıcıların bilinmeyen Ev ağlarına davetiyeleri görmezden gelerek kendilerini bu hataya karşı savunabileceklerini söylüyor. HomeKit cihazlarını kullanan iOS kullanıcıları, Kontrol Merkezi'nde 'Ev Kontrollerini Göster'i devre dışı bırakarak kendilerini kısmen koruyabilirler.
Spiniolas, hatayı 10 Ağustos'ta Apple'a bildirdiğini söyledi. Araştırmacıya göre Apple, "2022'den önce" bir düzeltme ile geleceğini belirtti, ancak geçen ay bunu "2022'nin başına" ayarladı, ardından Spiniolas Apple'a kendisinin hatayı 2022'nin başlarında herkese açık hale getirecek. Hata henüz Apple tarafından çözülmedi. Araştırmacıyla daha önce 2019'da yamalanan macOS'teki bir hata hakkında iletişime geçilmişti.
Spiniolas, Apple'ın ilk raporuna yanıt vermek için çok yavaş olduğuna inanıyor. Araştırmacı, bir Apple çalışanının hatayı kabul ettiği ve Spiniolas'tan Doorlock ile ilgili ayrıntıları 2022'nin başına kadar yayınlamamasını istediği e-postaları The Verge ile paylaşıyor. Apple, sürüm hakkında henüz kamuya açık bir yorumda bulunmadı.
Apple, hata ödül programı nedeniyle uzun süredir eleştiriliyor. Büyük teknoloji şirketlerinden Apple'ın sorumlu bilgilendirme politikası en yenisidir. Apple nispeten yüksek ödüller verse de, etik bilgisayar korsanları yıllardır yavaş düzeltmelerden ve kara deliklerde kaybolan bildirimlerden şikayet ediyorlardı. zaten geçen yıl bu sorunlar hakkında bir makale yazdı.