Apple еще не подтвердила исправление уязвимости HomeKit
Устройства Apple на базе iOS могут попасть в цикл зависания и сбоев и в конечном итоге стать непригодными для использования из-за уязвимости HomeKit, выявленной исследователем безопасности. Проблема существует во всех версиях iOS, начиная с iOS 14.7. Пользователи iPhone с последней версией iOS также подвержены уязвимости «отказ в обслуживании», сказал исследователь. Говорят, что Apple знает об этой проблеме и якобы обещает решить ее до 2022 года. Однако этот недостаток еще предстоит исправить.
Исследователь безопасности Тревор Спиниолас подробно описал масштабы уязвимости HomeKit, о которой Apple первоначально сообщила 10 августа прошлого года. Исследователь объяснил, что злоумышленник может воспользоваться этим недостатком и привести ваш iPhone или iPad к циклу зависания и сбоя, подключив его к устройству HomeKit с очень длинным именем, состоящим около 500 000 символов.
Говорят, что устройство iOS перестает отвечать на запросы, как только оно считывает имя устройства. Злоумышленник также может запустить уязвимость, используя приложение для переименования существующего устройства HomeKit. В качестве альтернативы, его можно использовать, отправив приглашение на новое устройство HomeKit с длинным именем.
- iPhone 14-й серии Снова перешел на спортивный дисплей с дыроколом
По словам исследователя, Apple ввела ограничение на имя, которое приложение или пользователь могут установить для устройства HomeKit в iOS 15.1. Это поможет в некоторой степени снизить воздействие, поскольку злоумышленник не мог повлиять на пользователей, вызвав уязвимость после переименования одного из подключенных устройств HomeKit. Но, тем не менее, проблема все еще может повлиять на пользователей более новых версий iOS, если устройство HomeKit с очень длинным именем подключено через приглашение.
Исследователь также обнаружил, что, поскольку Apple хранит имена подключенных устройств HomeKit в iCloud, проблема сохраняется, даже если пользователь восстанавливает устройство iOS.
“Если устройство будет восстановлено, но затем снова войдет в ранее используемый iCloud, приложение Home снова станет непригодным для использования”, — сказал исследователь.
- Появилась подробная информация о моделях iPhone, Mac, iPad от Apple 2022 года, а Также о гарнитуре виртуальной реальности
Спиниолас создал видео, чтобы кратко рассказать о последствиях уязвимости даже после восстановления iPhone.
Пользователи могут отклонять случайные приглашения устройств HomeKit на своих iPhone и iPad, чтобы избежать воздействия уязвимости. Пользователи, которые уже используют устройства «Умный дом», также могут защитить свое оборудование, отключив настройку «Показывать элементы управления домом» после перехода в Центр управления.
В случае, если вы уже стали мишенью злоумышленника, исследователь рекомендует устранить проблему после восстановления поврежденного устройства из режима восстановления или DFU и настроить его в обычном режиме без входа в свою учетную запись iCloud. После регистрации вы должны войти в iCloud из настроек, а затем отключить переключатель с надписью «Домой» сразу после входа в систему.
- Говорят, что инженеры Apple Получают бонусы вне очереди в размере до 180 000 долларов
Спиниолас сказал, что, хотя он сообщил Apple об ошибке в августе, компания не смогла исправить ее с последнего крайнего срока 1 января.
“Я считаю, что эта ошибка обрабатывается ненадлежащим образом, поскольку она представляет серьезную опасность для пользователей, и прошло много месяцев без комплексного исправления”, — сказал исследователь.
В 2019 году Apple приписала Спиниоласу сообщение об уязвимости в macOS Mojave. Исследователь, однако, обвинил производителя iPhone в недостаточной реакции на новую уязвимость.
Гаджеты 360 обратились к Apple за комментарием по этому вопросу. Этот отчет будет обновлен, когда компания ответит.
Источник: