Du bör alltid vara försiktig med inbjudningar till en främlings hem.
Det är resultatet av en ny säkerhetsforskning som har hittat en sårbarhet som kan låsas iOS-enheter till en spiral av frysning, kraschar och omstart om en användare ansluter till en saboterad Apple Home-enhet.
Sårbarheten, upptäckt av säkerhetsforskaren Trevor Spiniolas, kan utnyttjas genom Apples HomeKit API, mjukvarugränssnittet som låter en iOS-app styra kompatibla smarta hemenheter. Om en angripare skapar en HomeKit-enhet med ett extremt långt namn – cirka 500 000 tecken – kommer en iOS-enhet som ansluter till den att sluta svara när den läser enhetsnamnet och går in i en cykel av frysning och omstart som bara kan avslutas genom att torka och återställa iOS-enheten.
det mest troliga sättet att utlösa utnyttjandet skulle vara genom ett förfalskat hemnätverk
Dessutom, eftersom HomeKit enhetsnamn säkerhetskopieras till iCloud, kommer inloggning på samma iCloud-konto med en återställd enhet att utlösa kraschen igen, med cykeln som fortsätter tills enhetsägaren stänger av alternativet att synkronisera hemenheter från iCloud.< /p>
Även om det är möjligt att en angripare kan äventyra en användares befintliga HomeKit-aktiverade enhet, är det mest sannolika sättet att exploateringen skulle utlösas om angriparen skapade ett falskt hemnätverk och lurade en användare till gå med via ett nätfiskemeddelande.
För att skydda sig mot attacken är den främsta försiktighetsåtgärden för iOS-användare att omedelbart avvisa alla inbjudningar att gå med i ett okänt hemnätverk. Dessutom kan iOS-användare som för närvarande använder smarta hemenheter skydda sig själva genom att gå in i kontrollcentret och inaktivera inställningen “Visa hemkontroller.” (Detta hindrar inte hemenheter från att användas men begränsar vilken information som är tillgänglig via kontrollcentret.)
Spiniolas släppte detaljer på sin personliga webbplats den 1 januari 2022. Han krediterades tidigare av Apple för att ha upptäckt en sårbarhet i macOS Mojave som korrigerades 2019. Den nya sårbarheten påverkar den senaste iOS-versionen, 15.2, och går tillbaka minst lika långt tillbaka i tiden. som 14.7, sa Spiniolas.
Spiniolas anklagade också Apple för att vara långsamma med att svara på det första avslöjandet, som gjordes månader före offentliggörandet. Forskaren delade e-postmeddelanden med The Verge som verkade visa att en Apple-representant erkände problemet och bad Spiniolas avstå från att publicera detaljer förrän i början av 2022. Blogginlägget som beskriver sårbarheten hävdar att Apple fick kännedom om problemet den 10 augusti 2021.< /p>
“Apples brist på transparens är inte bara frustrerande för säkerhetsforskare som ofta arbetar gratis, den utgör en risk för de miljontals människor som använder Apples produkter i sina dagliga liv genom att minska Apples ansvarighet i säkerhetsfrågor”, skrev Spiniolas.
Apple hade inte svarat på en begäran om kommentar vid tidpunkten för publiceringen.