ایک سیکیورٹی محقق نے ایپل ہوم کٹ بگ کے بارے میں تفصیلات جاری کی ہیں، جو سروس سے انکار منسلک iOS آلات میں پیدا کر سکتا ہے اور دوبارہ چلنے کے بعد برقرار رہتا ہے۔ محقق نے کہا کہ اس نے اگست میں ایپل کو اس مسئلے کی اطلاع دی۔
سیکیورٹی محقق ٹریور اسپینیولس، جس نے بگ دریافت کیا، کمزوری کو ڈور لاک کہتا ہے اور گٹ ہب پر تصور کا ثبوت شائع کرتا ہے۔ یہ بگ سمارٹ ہوم ڈیوائسز کے لیے ایپل کے ہوم کٹ API میں ہے۔ بگ اس وقت ہوتا ہے جب حملہ آور ایک لمبے نام، تقریباً 500,000 حروف کے ساتھ ایک HomeKit ڈیوائس ترتیب دیتے ہیں۔ iOS ڈیوائسز جو پھر اس ڈیوائس سے جڑ جاتے ہیں وہ ریبوٹ کے بعد بھی جواب دینا بند کر دیتے ہیں۔ جب صارفین کسی iOS ڈیوائس کو فیکٹری سیٹنگز میں بحال کرتے ہیں، لیکن پھر i میں لاگ ان کرتے ہیں۔Cloud ہوم کٹ ڈیوائس سے منسلک اکاؤنٹ، بگ دوبارہ شروع ہو گیا ہے۔
Spiniolas رپورٹ کرتا ہے کہ ایپل ہوم ڈیٹا تک رسائی کے ساتھ کوئی بھی iOS ایپ ہوم کٹ ڈیوائسز کا نام بدل سکتی ہے۔ اس طرح کی ایپس کمزوری کا فائدہ اٹھا سکتی ہیں۔ ایپل نے iOS 15.1 میں HomeKit ناموں کی لمبائی پر ایک حد متعارف کرائی ہے اور محقق کے مطابق، ہو سکتا ہے کہ 15.0 کے اوائل میں ہو، اس لیے حال ہی میں اپ ڈیٹ کردہ iOS آلات پر اب یہ ممکن نہیں ہے۔ تاہم، HomeKit ڈیوائسز جن کا نام پہلے ہی تبدیل کر دیا گیا ہے وہ اب بھی iOS آلات کو "منجمد" کر سکتے ہیں جو iOS کے حالیہ ورژن چلا رہے ہیں۔
محقق اس بات پر زور دیتا ہے کہ یہ زیادہ امکان ہے کہ ہوم نیٹ ورک بنا کر اور فشنگ ای میلز کے ذریعے لوگوں کو اس میں مدعو کر کے کمزوری کا فائدہ اٹھایا جائے گا۔ Spiniolas کا کہنا ہے کہ صارفین نامعلوم ہوم نیٹ ورکس کی دعوتوں کو نظر انداز کر کے بگ کے خلاف اپنا دفاع کر سکتے ہیں۔ ہوم کٹ ڈیوائسز استعمال کرنے والے iOS صارفین کنٹرول سینٹر میں 'شو ہوم کنٹرولز' کو غیر فعال کر کے جزوی طور پر اپنی حفاظت کر سکتے ہیں۔
Spiniolas نے کہا کہ اس نے 10 اگست کو ایپل کو اس مسئلے کی اطلاع دی۔ محقق کے مطابق، ایپل نے اشارہ کیا کہ وہ "2022 سے پہلے" ٹھیک کر دے گا، لیکن گزشتہ ماہ اسے "2022 کے اوائل" میں ایڈجسٹ کیا گیا، جس کے بعد Spiniolas نے ایپل کو بتایا کہ وہ 2022 کے اوائل میں اس بگ کو پبلک کر دے گا۔ ایپل کی جانب سے ابھی تک اس مسئلے کو حل نہیں کیا گیا ہے۔ محقق سے پہلے میک او ایس میں ایک بگ کے بارے میں رابطہ کیا گیا تھا، جسے 2019 میں پیچ کیا گیا تھا۔
Spiniolas کا خیال ہے کہ ایپل اپنی ابتدائی رپورٹ کا جواب دینے میں بہت سست تھا۔ محقق دی ورج کے ساتھ ای میلز کا اشتراک کرتا ہے، جس میں ایپل کے ایک ملازم نے اس مسئلے کو تسلیم کیا اور اسپینیولا سے کہا کہ وہ 2022 کے اوائل تک ڈور لاک کے بارے میں تفصیلات شائع نہ کریں۔ ایپل نے ابھی تک اس ریلیز پر عوامی طور پر کوئی تبصرہ نہیں کیا ہے۔
ایپل طویل عرصے سے اپنے بگ باؤنٹی پروگرام کی وجہ سے تنقید کا نشانہ بن رہا ہے۔ بڑی ٹیک کمپنیوں میں، ایپل کی ذمہ دار افشاء کرنے والی پالیسی سب سے کم عمر ہے۔ اگرچہ ایپل نسبتاً زیادہ انعامات دیتا ہے، اخلاقی ہیکر سالوں سے سست اصلاحات اور اطلاعات کے بارے میں شکایت کر رہے ہیں جو بظاہر بلیک ہولز میں غائب ہو جاتی ہیں۔ پہلے ہی پچھلے سال ان مسائل کے بارے میں ایک مضمون لکھا تھا۔