AppleInsiderはオーディエンスによってサポートされており、対象となる購入でAmazonアソシエイトおよびアフィリエイトパートナーとしてコミッションを獲得する場合があります。これらのアフィリエイトパートナーシップは、当社の編集コンテンツに影響を与えません。
非常に長いデバイス名を含む攻撃ベクトルとしてHomeKitを使用するiOSの脆弱性は、研究者が2021年8月にAppleに開示した後に開示されました。
他の製品と同様、AppleはHomeKitをユーザーにとって可能な限り安全に保つことに熱心です。 1月1日に公開された開示では、スマートホームプラットフォームにバグがあり、ユーザーに問題を引き起こす可能性があるようです。
セキュリティによると、
Spiniolasは
さらに、iOS 15.0または15.1のアップデートでは、アプリまたはユーザーが設定できる名前の長さに制限がありましたが、以前のiOSバージョンでも名前を更新できます。バグが制限のないiOSバージョンでトリガーされ、HomeKitデータを共有する場合、バージョンに関係なく、データを共有するすべてのデバイスも影響を受けます。
コントロールセンターでホームデバイスが有効になっていないデバイスで、ホームアプリが使用できなくなり、クラッシュするという2つの状況が発生する可能性があります。再起動もアップデートも問題を解決せず、同じiCloudアカウントにサインインしている場合、復元されたデバイスは再びHomeを使用できなくします。
コントロールセンターでホームデバイスが有効になっているiPhoneおよびiPadの場合、これはユーザーがHomeKitデバイスにアクセスできる場合のデフォルト設定であり、iOS自体が応答しなくなります。入力が遅延または無視され、デバイスが応答しなくなり、ときどき再起動します。
デバイスを再起動または更新すると、修正されますこの状況では、USBアクセスが中断されると、基本的にユーザーはデバイスを復元し、すべてのローカルデータを失うことになります。ただし、同じiCloudアカウントを復元してサインインすると、以前と同じ効果でバグが再度発生します。
Spiniolasは、この問題が悪意のある目的で使用される可能性があると考えています。たとえば、ホームデータにアクセスできるアプリを介して、バグを単独で導入するなどです。ターゲットがHomeKitデバイスを所有していない場合でも、攻撃者がホームへの招待状を他のユーザーに送信することも可能です。
問題を回避する方法
研究者によると、コントロールセンターでホームデバイスを無効にすることで、2つのシナリオのうちの悪い方を回避できます。これを行うには、[設定]、[コントロールセンター]の順に開き、[ホームコントロールの表示]の切り替えをオフに設定します。
ユーザーは、他のユーザー、特に連絡先が不明なユーザーのホームネットワークへの招待にも注意する必要があります。
遅い修正
Spiniolasは、最初に8月10日にAppleにバグを報告したと主張しており、Appleはセキュリティアップデートで修正を計画していると述べています。バグは2021年末までに発行される予定です。しかし、Appleは12月8日の見積もりを「2022年初頭」に変更したとされています。
修正が遅れたため、Spiniolasは、バグの公開が2022年1月1日に行われることをAppleに警告しました。
「このバグは不適切に処理されていると思います。ユーザーにとって深刻なリスクであり、包括的な修正なしに何ヶ月も経過した」と研究者は書いている。 「一般の人々は、この脆弱性と、それが悪用されるのを防ぐ方法を知っておく必要があります。暗闇に置かれるのではありません。」
