AppleInsider cuenta con el respaldo de su audiencia y puede ganar comisiones como Asociado de Amazon y socio afiliado en compras que califiquen. Estas asociaciones de afiliados no influyen en nuestro contenido editorial.
Una vulnerabilidad en iOS que usa HomeKit como un vector de ataque que involucra nombres de dispositivos muy largos, ha sido revelada luego de que un investigador lo revelara a Apple en agosto de 2021.
Al igual que con sus otros productos , Apple desea mantener HomeKit lo más seguro posible para sus usuarios. En una divulgación publicada el 1 de enero, parece que hay un error en la plataforma del hogar inteligente que podría causar problemas a sus usuarios.
De acuerdo con la seguridad investigador Trevor Spiniolas, si el nombre de un dispositivo HomeKit se cambia a”muy largo string”, establecido en 500.000 caracteres en las pruebas, los dispositivos iOS y iPadOS que cargan la cadena se pueden reiniciar e inutilizar. Además, dado que el nombre se almacena en iCloud y se actualiza en todos los demás dispositivos iOS registrados en la misma cuenta, el error puede reaparecer repetidamente.
Spiniolas ha llamado el error “doorLock”y afirma que afecta a todas las versiones de iOS desde iOS 14.7 en adelante bajo prueba, aunque es probable que también exista en todas las versiones de iOS 14.
Además, aunque una actualización en iOS 15.0 o 15.1 impuso un límite en la longitud de un nombre que una aplicación o un usuario podría establecer, el nombre aún puede actualizarse con versiones anteriores de iOS. Si el error se activa en una versión de iOS sin el límite y comparte datos de HomeKit, todos los dispositivos con los que comparte los datos también se verán afectados, independientemente de la versión.
Hay dos situaciones que pueden ocurrir, cuando los dispositivos que no tienen dispositivos Home habilitados en el Centro de control encuentran que la aplicación Home no se puede usar y se bloquea. Ni los reinicios ni las actualizaciones solucionarán el problema, y los dispositivos restaurados volverán a inutilizar Home si está conectado a la misma cuenta de iCloud.
Para iPhones y iPads que tienen dispositivos domésticos habilitados en el Centro de control, que es la configuración predeterminada para cuando los usuarios tienen acceso a los dispositivos HomeKit, el propio iOS deja de responder. Las entradas se retrasan o se ignoran, y el dispositivo no responde y se reinicia ocasionalmente.
Reiniciar ni actualizar el dispositivo lo solucionará en esta situación, y el acceso USB interrumpido básicamente obliga a los usuarios a restaurar su dispositivo y perder todos los datos locales. Sin embargo, restaurar e iniciar sesión en la misma cuenta de iCloud volverá a activar el error con los mismos efectos que antes.
Spiniolas cree que el problema podría usarse con fines maliciosos, como a través de una aplicación con acceso a los datos de Home que introduce el error por sí mismo. También es factible que un atacante envíe invitaciones a una casa a otros usuarios, incluso si el objetivo no posee un dispositivo HomeKit.
Cómo evitar el problema
Según el investigador, el peor de los dos escenarios puede evitarse desactivando los dispositivos domésticos en el Centro de control. Para hacerlo, abra Configuración seguido del Centro de control, luego desactive la opción”Mostrar controles de inicio”.
Los usuarios también deben estar atentos a las invitaciones para unirse a las redes domésticas de otros usuarios, especialmente aquellos de contactos desconocidos.
Una solución lenta
Spiniolas afirma haber informado inicialmente el error a Apple el 10 de agosto, y Apple dijo que había planeado una actualización de seguridad para corregir el El error se emitirá a finales de 2021. Sin embargo, Apple supuestamente cambió su estimación el 8 de diciembre a”Principios de 2022″.
La corrección retrasada hizo que Spiniolas advirtiera a Apple que se haría una divulgación pública del error el 1 de enero de 2022.
“Creo que este error se está manejando de manera inapropiada tal como se presenta un riesgo grave para los usuarios y han pasado muchos meses sin una solución integral”, escribe el investigador.”El público debe ser consciente de esta vulnerabilidad y cómo evitar que sea explotada, en lugar de permanecer en la oscuridad”.