Η Apple κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση μιας επίμονης άρνησης υπηρεσίας (DoS) με την ονομασία DoorLock, που απενεργοποιούσε ολοκληρωτικά συσκευές iPhone και iPad που εκτελούν το HomeKit σε iOS 14.7 και νεότερες εκδόσεις.
Δείτε επίσης: HomeKit: Tο “όπλο” για ασφαλείς έξυπνες οικιακές συσκευές
Το HomeKit είναι ένα πρωτόκολλο και ένα πλαίσιο της Apple, που επιτρέπει στους χρήστες iOS και iPadOS να εντοπίζουν και να ελέγχουν έξυπνες οικιακές συσκευές στο δίκτυό τους.
Όπως εξήγησε η εταιρεία σε μια συμβουλευτική ασφαλείας που εκδόθηκε σήμερα, η ευπάθεια doorLock, γνωστή και ως CVE-2022-22588, θα διακοπεί σε συσκευές iOS και iPadOS που επηρεάζονται κατά την επεξεργασία ονομάτων αξεσουάρ HomeKit, που έχουν δημιουργηθεί με κακόβουλο τρόπο.
Η Apple έχει αντιμετωπίσει αυτό το σοβαρό πρόβλημα στο iOS 15.2.1 και το iPadOS 15.2.1 προσθέτοντας βελτιωμένη επικύρωση εισόδου, που δεν επιτρέπει πλέον στους εισβολείς να απενεργοποιούν ευάλωτες συσκευές.
Οι συσκευές που έλαβαν ενημερώσεις ασφαλείας περιλαμβάνουν iPhone 6s και νεότερες εκδόσεις, iPad Pro (όλα τα μοντέλα), iPad Air 2 και μεταγενέστερες, iPad 5ης γενιάς και μεταγενέστερες, iPad mini 4 και μεταγενέστερες και iPod touch (7ης γενιάς).
Δείτε ακόμα: Το Apple Fitness+ αποκτά την λειτουργία «Time to Run»
“Πριν από τέσσερις μήνες ανακάλυψα και ανέφερα ένα σοβαρό σφάλμα άρνησης υπηρεσίας στο iOS που εξακολουθεί να παραμένει στην τελευταία έκδοση. Επιμένει κατά τις επανεκκινήσεις και μπορεί να ενεργοποιηθεί μετά από επαναφορές υπό ορισμένες συνθήκες“, δήλωσε ο Trevor Spiniolas, ο προγραμματιστής και “βασικός ερευνητής ασφάλειας” που εντόπισε και ανέφερε το σφάλμα.
“Όλες οι απαιτήσεις είναι προεπιλεγμένες ρυθμίσεις. Όταν κάποιος ρυθμίζει τη συσκευή του iOS, όλα είναι ήδη έτοιμα για να λειτουργήσει το σφάλμα.“
Σύμφωνα με τον Spiniolas, η Apple γνώριζε για το DoorLock από τον Αύγουστο του 2021, αλλά προώθησε την ενημέρωση ασφαλείας πολλές φορές, παρά το γεγονός ότι είχε υποσχεθεί επανειλημμένα να το διορθώσει.
“Πιστεύω ότι αυτό το σφάλμα αντιμετωπίζεται ακατάλληλα, καθώς αποτελεί σοβαρό κίνδυνο για τους χρήστες και έχουν περάσει πολλοί μήνες χωρίς μια ολοκληρωμένη επιδιόρθωση“, είπε ο Spiniolas.
“Το κοινό θα πρέπει να γνωρίζει αυτή την ευπάθεια και πώς να αποτρέψει την εκμετάλλευσή της, αντί να μένει στο σκοτάδι“.
Δείτε επίσης: Apple: Η πρώτη αμερικανική εταιρεία που έφτασε τα $ 3 τρισεκατομμύρια σε αξία
Ο ερευνητής λέει ότι οι εισβολείς θα πρέπει να αλλάξουν το όνομα μιας συσκευής HomeKit σε μεγάλες συμβολοσειρές έως και 500.000 χαρακτήρων και να ξεγελάσουν τον στόχο.
Ο μόνος τρόπος για να επανέλθει η συσκευή από μια τέτοια επίθεση θα ήταν η επαναφορά εργοστασιακών ρυθμίσεων της απενεργοποιημένης συσκευής, δεδομένου ότι θα διακοπεί ξανά μετά την επανεκκίνηση και την επιστροφή στον λογαριασμό iCloud που είναι συνδεδεμένος με τη συσκευή HomeKit.
 με την ονομασία DoorLock, που){kind=link}