AppleInsider jest wspierany przez swoich odbiorców i może zarabiać prowizję jako partner Amazon i partner stowarzyszony za kwalifikujące się zakupy. Te partnerstwa afiliacyjne nie mają wpływu na nasze treści redakcyjne.
Luka w systemie iOS, która wykorzystuje HomeKit jako wektor ataku obejmujący bardzo długie nazwy urządzeń, została ujawniona po tym, jak badacz ujawnił ją firmie Apple w sierpniu 2021 r.
Podobnie jak w przypadku innych produktów , Apple zależy na tym, aby HomeKit był jak najbezpieczniejszy dla swoich użytkowników. W oświadczeniu opublikowanym 1 stycznia wydaje się, że istnieje błąd w platformie inteligentnego domu, który może powodować problemy dla jej użytkowników.
Zgodnie z badaczem Trevor Spiniolas ds. bezpieczeństwa, jeśli nazwa urządzenia HomeKit zostanie zmieniona na „bardzo długą string”, ustawione na 500 000 znaków w testach, urządzenia iOS i iPadOS, które ładują ciąg, mogą zostać ponownie uruchomione i uczynić bezużytecznymi. Co więcej, ponieważ nazwa jest przechowywana w iCloud i jest aktualizowana na wszystkich innych urządzeniach iOS zalogowanych na to samo konto, błąd może pojawiać się wielokrotnie.
Spiniolas nazwał błąd „doorLock” i twierdzi, że dotyczy on wszystkich wersji iOS od iOS 14.7 w trakcie testów, chociaż prawdopodobnie będzie również istnieć we wszystkich wersjach iOS 14.
Ponadto, chociaż aktualizacja w iOS 15.0 lub 15.1 nałożyła limit długości nazwy, którą może ustawić aplikacja lub użytkownik, nazwa nadal może być aktualizowana przez poprzednie wersje iOS. Jeśli błąd zostanie wywołany w wersji iOS bez limitu i udostępni dane HomeKit, wszystkie urządzenia, z którymi udostępnia dane, również zostaną dotknięte, niezależnie od wersji.
Mogą wystąpić dwie sytuacje, gdy urządzenia, które nie mają włączonych urządzeń Home w Control Center, stwierdzają, że aplikacja Home jest bezużyteczna i ulega awarii. Ani ponowne uruchomienie, ani aktualizacje nie rozwiążą problemu, a przywrócone urządzenia ponownie sprawią, że Home będzie bezużyteczny, jeśli jest zalogowany na to samo konto iCloud.
W przypadku iPhone’ów i iPadów, które mają urządzenia domowe włączone w Control Center, co jest domyślnym ustawieniem, gdy użytkownicy mają dostęp do urządzeń HomeKit, sam system iOS przestaje odpowiadać. Dane wejściowe stają się opóźnione lub ignorowane, a urządzenie nie odpowiada i co jakiś czas przechodzi ponowne uruchomienie.
Ponowne uruchomienie lub aktualizacja urządzenia rozwiążą problem w tej sytuacji zakłócony dostęp do USB w zasadzie zmusza użytkowników do przywrócenia urządzenia i utraty wszystkich lokalnych danych. Jednak przywrócenie i zalogowanie się na to samo konto iCloud ponownie wywoła błąd z tymi samymi efektami, co poprzednio.
Spiniolas uważa, że problem może zostać wykorzystany do złośliwych celów, na przykład za pośrednictwem aplikacji z dostępem do danych Home, która sama wprowadza błąd. Możliwe jest również, że atakujący wyśle zaproszenia do domu do innych użytkowników, nawet jeśli cel nie posiada urządzenia HomeKit.
Jak uniknąć problemu
Według badacza najgorszego z dwóch scenariuszy można uniknąć, wyłączając urządzenia domowe w Control Center. Aby to zrobić, otwórz Ustawienia, a następnie Centrum sterowania, a następnie wyłącz przełącznik „Pokaż sterowanie domem”.
Użytkownicy powinni również zwracać uwagę na zaproszenia do dołączenia do sieci domowych innych użytkowników, zwłaszcza tych z nieznanych kontaktów.
Powolna naprawa
Spiniolas twierdzi, że początkowo zgłosił błąd Apple 10 sierpnia, a Apple powiedział, że zaplanował aktualizację bezpieczeństwa naprawiającą błąd, który ma zostać opublikowany do końca 2021 r. Jednak Apple rzekomo zmienił swoje szacunki 8 grudnia na „początek 2022 r.”.
Opóźniona poprawka skłoniła Spiniolasa do ostrzeżenia Apple, że publiczne ujawnienie błędu nastąpi 1 stycznia 2022 r.
„Uważam, że ten błąd jest traktowany niewłaściwie, ponieważ stwarza poważne ryzyko dla użytkowników i wiele miesięcy minęło bez kompleksowej naprawy – pisze badacz. „Społeczeństwo powinno być świadome tej luki i tego, jak zapobiec jej wykorzystywaniu, a nie trzymaniu w ciemności”.