AppleInsider è supportato dal suo pubblico e può guadagnare commissioni come Associato Amazon e partner affiliato sugli acquisti idonei. Queste partnership di affiliazione non influenzano il nostro contenuto editoriale.
Una vulnerabilità in iOS che utilizza HomeKit come vettore di attacco che coinvolge nomi di dispositivi molto lunghi, è stata rivelata dopo che un ricercatore l’ha rivelata ad Apple nell’agosto 2021.
Come con i suoi altri prodotti , Apple desidera mantenere HomeKit il più sicuro possibile per i suoi utenti. In un comunicato pubblicato il 1 gennaio, sembra che ci sia un bug nella piattaforma di casa intelligente che potrebbe causare problemi ai suoi utenti.
Secondo la sicurezza ricercatore Trevor Spiniolas, se il nome di un dispositivo HomeKit viene modificato in”molto lungo string”, impostato su 500.000 caratteri nei test, i dispositivi iOS e iPadOS che caricano la stringa possono essere riavviati e resi inutilizzabili. Inoltre, poiché il nome è archiviato in iCloud e viene aggiornato su tutti gli altri dispositivi iOS registrati nello stesso account, il bug può ripresentarsi ripetutamente.
Spiniolas ha chiamato il bug“doorLock”e afferma che interessa tutte le versioni iOS da iOS 14.7 in poi in fase di test, anche se è probabile che esista anche su tutte le versioni di iOS 14.
Inoltre, mentre un aggiornamento in iOS 15.0 o 15.1 imponeva un limite alla lunghezza di un nome che un’app o un utente potevano impostare, il nome può ancora essere aggiornato dalle versioni precedenti di iOS. Se il bug viene attivato su una versione iOS senza limiti e condivide i dati HomeKit, anche tutti i dispositivi con cui condivide i dati saranno interessati, indipendentemente dalla versione.
Ci sono due situazioni che possono verificarsi, con i dispositivi che non hanno i dispositivi Home abilitati nel Centro di controllo che scoprono che l’app Home è inutilizzabile e si arresta in modo anomalo. Né i riavvii né gli aggiornamenti risolveranno il problema e i dispositivi ripristinati renderanno nuovamente Home inutilizzabile se è stato effettuato l’accesso allo stesso account iCloud.
Per iPhone e iPad con dispositivi Home abilitati in Control Center, che è l’impostazione predefinita per quando gli utenti hanno accesso ai dispositivi HomeKit, iOS stesso non risponde. Gli input vengono ritardati o ignorati, con il dispositivo che non risponde e si riavvia occasionalmente.
Il riavvio o l’aggiornamento del dispositivo risolveranno il problema in questa situazione, e l’interruzione dell’accesso USB costringe sostanzialmente gli utenti a ripristinare il proprio dispositivo e a perdere tutti i dati locali. Tuttavia, il ripristino e l’accesso allo stesso account iCloud riattiveranno il bug con gli stessi effetti di prima.
Spiniolas ritiene che il problema potrebbe essere utilizzato per scopi dannosi, ad esempio tramite un’app con accesso ai dati della casa che introduce il bug da solo. È anche possibile che un utente malintenzionato invii inviti a una casa ad altri utenti, anche se il bersaglio non possiede un dispositivo HomeKit.
Come evitare il problema
Secondo il ricercatore, il peggiore dei due scenari può essere evitato disabilitando i dispositivi domestici in Control Center. Per fare ciò, apri Impostazioni seguito da Centro di controllo, quindi imposta l’interruttore per”Mostra controlli Home”su off.
Gli utenti devono anche prestare attenzione agli inviti a unirsi alle reti domestiche di altri utenti, in particolare quelli provenienti da contatti sconosciuti.
Una soluzione lenta
Spiniolas afferma di aver inizialmente segnalato il bug ad Apple il 10 agosto, con Apple che ha detto di aver pianificato un aggiornamento di sicurezza che risolve il problema bug da emettere entro la fine del 2022. Tuttavia, Apple avrebbe poi cambiato la sua stima l’8 dicembre a”Inizio 2022″.
La correzione ritardata ha spinto Spiniolas ad avvertire Apple che una divulgazione pubblica del bug sarebbe stata effettuata il 1 gennaio 2022.
“Credo che questo bug venga gestito in modo inappropriato poiché si pone un serio rischio per gli utenti e sono trascorsi molti mesi senza una soluzione completa”, scrive il ricercatore.”Il pubblico dovrebbe essere consapevole di questa vulnerabilità e di come impedire che venga sfruttata, piuttosto che essere tenuta all’oscuro”.
