AppleInsider поддерживается своей аудиторией и может получать комиссию как ассоциированный и аффилированный партнер Amazon за соответствующие покупки. Эти партнерские отношения не влияют на наши редакционные материалы.
Уязвимость в iOS, использующая HomeKit в качестве вектора атаки с использованием очень длинных имен устройств, была обнаружена после того, как исследователь сообщил об этом Apple в августе 2021 года.
Как и в случае с другими продуктами компании. , Apple стремится обеспечить максимальную безопасность HomeKit для своих пользователей. В сообщении, опубликованном 1 января, кажется, что в платформе умного дома есть ошибка, которая может вызвать проблемы у ее пользователей.
Согласно требованиям безопасности, исследователь Тревор Спиниолас, если имя устройства HomeKit будет изменено на”очень длинное”, строка », установленная при тестировании на 500 000 символов, устройства iOS и iPadOS, загружающие строку, можно перезагрузить и сделать непригодными для использования. Кроме того, поскольку имя хранится в iCloud и обновляется на всех других устройствах iOS, на которых выполнен вход в ту же учетную запись, ошибка может появляться повторно.
Спиниолас назвал ошибку «doorLock» и утверждает, что она затрагивает все версии iOS, начиная с iOS 14.7. и далее в стадии тестирования, хотя, вероятно, он также будет существовать во всех версиях iOS 14.
Кроме того, хотя обновление в iOS 15.0 или 15.1 налагает ограничение на длину имени, которое может установить приложение или пользователь, имя все еще может быть обновлено в предыдущих версиях iOS. Если ошибка возникает в версии iOS без ограничения и совместно использует данные HomeKit, это также затронет все устройства, с которыми она делится данными, независимо от версии.
Могут возникнуть две ситуации, когда устройства, на которых в Центре управления не включены домашние устройства, обнаруживают, что приложение Home непригодно для использования, и дает сбой. Ни перезагрузки, ни обновления не решат проблему, а восстановленные устройства снова сделают дом непригодным для использования, если он вошел в ту же учетную запись iCloud.
Для iPhone и iPad, на которых домашние устройства включены в Control Center, что является настройкой по умолчанию, когда пользователи имеют доступ к устройствам HomeKit, сама iOS перестает отвечать на запросы. Входные данные задерживаются или игнорируются, устройство не отвечает и периодически перезагружается.
Перезагрузка или обновление устройства исправят это в этой ситуации и прерванный доступ USB в основном вынуждает пользователей восстанавливать свое устройство и терять все локальные данные. Однако восстановление и вход в ту же учетную запись iCloud снова вызовет ошибку с теми же эффектами, что и раньше.
Спиниолас считает, что проблема может быть использована в злонамеренных целях, например, через приложение с доступом к домашним данным, что само по себе представляет ошибку. Также злоумышленник может отправить приглашения в Домашнюю страницу другим пользователям, даже если у цели нет устройства HomeKit.
Как избежать проблемы
По мнению исследователя, худшего из двух сценариев можно избежать, отключив домашние устройства в Центре управления. Для этого откройте «Настройки», затем «Центр управления», затем выключите переключатель «Показать элементы управления домом».
Пользователи также должны внимательно относиться к приглашениям присоединиться к Домашним сетям других пользователей, особенно от неизвестных контактов.
Медленное исправление
Спиниолас утверждает, что первоначально сообщил об ошибке в Apple 10 августа, при этом Apple, как сообщается, запланировала обновление безопасности, исправляющее ошибка будет выпущена к концу 2021 года. Однако 8 декабря Apple якобы изменила свою оценку на «начало 2022 года».
Отложенное исправление побудило Спиниоласа предупредить Apple, что публичное раскрытие ошибки будет сделано 1 января 2022 года.
«Я считаю, что с этой ошибкой обрабатывают ненадлежащим образом, поскольку она представляет серьезный риск для пользователей, и многие месяцы прошли без полного исправления »,-пишет исследователь. «Общественность должна знать об этой уязвимости и о том, как предотвратить ее использование, а не держать в неведении».