Du bør altid være på vagt over for invitationer til en fremmeds hjem.
Det er resultatet af en ny sikkerhedsundersøgelse, der har fundet en sårbarhed, der kan låse iOS-enheder ind i en spiral af frysning, nedbrud og genstart, hvis en bruger opretter forbindelse til en saboteret Apple Home-enhed.
Sårbarheden, opdaget af sikkerhedsforsker Trevor Spiniolas, kan udnyttes gennem Apples HomeKit API, softwaregrænsefladen, der gør det muligt for en iOS-app at styre kompatible smart home-enheder. Hvis en angriber opretter en HomeKit-enhed med et ekstremt langt navn – omkring 500.000 tegn – vil en iOS-enhed, der opretter forbindelse til den, ikke reagere, når den læser enhedsnavnet og går ind i en cyklus med frysning og genstart, der kun kan afsluttes ved at slette og gendannelse af iOS-enheden.
den mest sandsynlige måde at udløse udnyttelsen på ville være gennem et forfalsket hjemmenetværk
Hvad mere er, da HomeKit-enhedsnavne er sikkerhedskopieret til iCloud, vil login på den samme iCloud-konto med en gendannet enhed udløse nedbruddet igen, hvor cyklussen fortsætter, indtil enhedsejeren deaktiverer muligheden for at synkronisere Home-enheder fra iCloud.< /p>
Selvom det er muligt, at en angriber kan kompromittere en brugers eksisterende HomeKit-aktiverede enhed, er den mest sandsynlige måde, hvorpå udnyttelsen vil blive udløst, hvis angriberen oprettede et forfalsket hjemmenetværk og narrede en bruger til deltage via en phishing-e-mail.
For at beskytte sig mod angrebet er den vigtigste sikkerhedsforanstaltning for iOS-brugere øjeblikkeligt at afvise enhver invitation til at blive medlem af et ukendt hjemmenetværk. Derudover kan iOS-brugere, der i øjeblikket bruger smarte hjemme-enheder, beskytte sig selv ved at gå ind i kontrolcenteret og deaktivere indstillingen “Vis hjemmestyring”. (Dette forhindrer ikke hjemme-enheder i at blive brugt, men begrænser, hvilke oplysninger der er tilgængelige via kontrolcenteret.)
Spiniolas frigav detaljer på sit personlige websted den 1. januar 2022. Han blev tidligere krediteret af Apple for at opdage en sårbarhed i macOS Mojave, der blev rettet i 2019. Den nye sårbarhed påvirker den seneste iOS-version, 15.2, og går mindst lige så langt tilbage som 14.7, sagde Spiniolas.
Spiniolas beskyldte også Apple for at være langsomme til at reagere på den første afsløring, som blev givet måneder før den offentlige udgivelse. Forskeren delte e-mails med The Verge, der så ud til at vise en Apple-repræsentant, der anerkendte problemet og anmodede Spiniolas om at afstå fra at offentliggøre detaljer indtil begyndelsen af 2022. Blogindlægget, der beskriver sårbarheden hævder, at Apple blev gjort opmærksom på problemet den 10. august 2021.< /p>
“Apples mangel på gennemsigtighed er ikke kun frustrerende for sikkerhedsforskere, som ofte arbejder gratis, den udgør en risiko for de millioner af mennesker, der bruger Apple-produkter i deres daglige liv ved at reducere Apples ansvarlighed i sikkerhedsspørgsmål,” skrev Spiniolas.
Apple havde ikke reageret på en anmodning om kommentar på tidspunktet for offentliggørelsen.