Bir yabancının evine gelen davetlere karşı her zaman dikkatli olmalısınız.
Bu, bir kullanıcı sabote edilmiş bir Apple Home cihazına bağlanırsa iOS cihazlarını donma, çökme ve yeniden başlatma sarmalına kilitleyebilen bir güvenlik açığı bulan yeni bir güvenlik araştırmasının sonucu.
güvenlik açığı, güvenlik araştırmacısı Trevor Spiniolas tarafından keşfedildi, Apple aracılığıyla istismar edilebilir HomeKit API’si, bir iOS uygulamasının uyumlu akıllı ev cihazlarını kontrol etmesine izin veren yazılım arayüzü. Saldırgan, son derece uzun bir ada (yaklaşık 500.000 karakter) sahip bir HomeKit cihazı oluşturursa, buna bağlanan bir iOS cihazı, cihaz adını okuduktan ve yalnızca silme ve iOS cihazını geri yükleme.
Dahası, HomeKit cihaz adları iCloud’a yedeklendiğinden, geri yüklenen bir cihazla aynı iCloud hesabında oturum açmak, cihaz sahibi Ev cihazlarını iCloud’dan senkronize etme seçeneğini kapatana kadar döngü devam ederek kilitlenmeyi yeniden tetikleyecektir.
Bir saldırganın, bir kullanıcının mevcut HomeKit özellikli cihazının güvenliğini aşması mümkün olsa da, istismarın tetiklenmesinin en olası yolu, saldırganın bir sahte Ev ağı oluşturması ve bir kullanıcıyı bir kimlik avı e-postasıyla katılması için kandırmasıdır.
Saldırıya karşı korunmak için, iOS kullanıcıları için ana önlem, tanıdık olmayan bir Ev ağına katılma davetlerini anında reddetmektir. Ek olarak, şu anda akıllı ev cihazlarını kullanan iOS kullanıcıları, Kontrol Merkezi’ne girip “Ev Kontrollerini Göster” ayarını devre dışı bırakarak kendilerini koruyabilirler. (Bu, Ev cihazlarının kullanılmasını engellemez, ancak Kontrol Merkezi aracılığıyla hangi bilgilere erişilebileceğini sınırlar.)
Spiniolalar ayrıntıları kişisel web sitesinde yayınladı 1 Ocak 2022’de. daha önce Apple tarafından kredilendirildi Spiniolas, macOS Mojave’de 2019’da yamalanan bir güvenlik açığı keşfetmek için. Yeni güvenlik açığı en son iOS sürümü 15.2’yi etkiliyor ve en az 14.7’ye kadar geri gidiyor, dedi.
Spiniolas ayrıca Apple’ı kamuya açıklanmadan aylar önce yapılan ilk açıklamaya yanıt vermede yavaş olmakla suçladı. Araştırmacı e-postaları şu kişilerle paylaştı: Sınır Bu, bir Apple temsilcisinin sorunu kabul ettiğini ve Spiniolas’ın 2022’nin başına kadar ayrıntıları yayınlamamasını talep ettiğini gösteriyordu. Güvenlik açığını ayrıntılandıran blog gönderisi, Apple’ın sorundan 10 Ağustos 2021’de haberdar edildiğini iddia ediyor.
Spiniolas, “Apple’ın şeffaflıktan yoksun olması yalnızca genellikle ücretsiz çalışan güvenlik araştırmacıları için sinir bozucu olmakla kalmıyor, aynı zamanda Apple’ın güvenlik konularındaki sorumluluğunu azaltarak Apple ürünlerini günlük yaşamlarında kullanan milyonlarca insan için bir risk oluşturuyor” dedi. .
Apple, yayınlandığı zamana kadar bir yorum talebine yanıt vermemişti.