Apple Çarşamba günü, cihazları hedef alan fidye yazılımı benzeri saldırılar başlatmak için potansiyel olarak istismar edilebilecek HomeKit akıllı ev çerçevesini etkileyen kalıcı bir hizmet reddi (DoS) sorununu gidermek için iOS ve iPadOS için yazılım güncellemeleri yayınladı.
iPhone üreticisi, kendi sürüm notları iOS ve iPadOS 15.2.1 için, bunu kötü amaçlarla oluşturulmuş bir HomeKit aksesuar adı işlenirken tetiklenebilecek bir “kaynak tükenme sorunu” olarak adlandırdı ve iyileştirilmiş doğrulama ile hatayı giderdiğini ekledi.
CVE-2022-22588 olarak izlenen sözde “kapı Kilidi” güvenlik açığı, akıllı ev cihazlarını iOS uygulamalarına bağlamak için yazılım API’si olan HomeKit’i etkiler.
Başarıyla kullanılırsa, iPhone’lar ve iPad’ler, yalnızca bir HomeKit cihazının adını 500.000 karakterden daha büyük bir dizeyle değiştirerek ve hedefi kötü niyetli bir Ev davetini kabul etmesi için kandırarak bir çökme sarmalına gönderilebilir.
Daha da kötüsü, HomeKit cihaz adları iCloud’a yedeklendiğinden, HomeKit cihazına bağlı etkilenen iCloud hesabına tekrar giriş yapmak DoS durumunu yeniden tetikleyebilir ve cihazların yalnızca sona erebilecek sonsuz bir kilitlenme ve yeniden başlatma döngüsüne girmesine neden olabilir. onları fabrika ayarlarına geri yükleyerek.
Şirket, bir uygulamanın veya kullanıcının ayarlayabileceği adın uzunluğuna bir sınır getirerek sorunu hafifletmeye çalışsa da, bunun bir saldırganın aşırı uzun cihaz adlarına izin veren daha eski bir sürümü çalıştırmasını engellemek için hiçbir şey yapmadığı ve ardından kurbanın bir kimlik avı e-postası yoluyla sahte bir daveti kabul etmesini sağlamak.
Düzeltme, güvenlik açığını keşfeden güvenlik araştırmacısı Trevor Spiniolas’ın şirketi Ağustos 2021’de bildirmesine ve müşterilerini oldukça ciddi bir soruna maruz bırakmasına rağmen “konuyu ciddiye almadığı” için çağırmasından haftalar sonra geldi.
Spiniolas, “Apple’ın şeffaflık eksikliği, yalnızca genellikle ücretsiz olarak çalışan güvenlik araştırmacıları için sinir bozucu olmakla kalmıyor, aynı zamanda Apple’ın güvenlik konularındaki sorumluluğunu azaltarak günlük yaşamlarında Apple ürünlerini kullanan milyonlarca insan için bir risk oluşturuyor” dedi. .
.
siber-2