Apple, iOS ve iPadOS’ta, kalıcı hizmet reddi (DoS) saldırıları başlatmak için HomeKit aracılığıyla kullanılabilecek bir güvenlik açığını düzeltti.
teknoloji devi iOS 15.2.1 ve iPadOS 15.2.1 yayınlandı tarafından bu ayın başlarında açıklanan sözde “doorLock” kusurunu düzeltmek için Çarşamba günü güvenlik araştırmacısı Trevor Spiniolas. Hata, iOS 14.7 ila iOS 15.2 çalıştıran iPhone’ları ve iPad’leri etkiler ve Apple kullanıcılarının akıllı ev cihazlarını yapılandırmasına, iletişim kurmasına ve kontrol etmesine olanak tanıyan Apple’ın akıllı ev platformu HomeKit aracılığıyla tetiklenir.
Hatadan yararlanmak için bir saldırganın bir HomeKit cihazının adını 500.000 karakterden daha büyük bir dizeyle değiştirmesi gerekir. Bu dize bir kullanıcının iPhone veya iPad’ine yüklendiğinde, aygıtın yazılımı hizmet reddi (DoS) durumuna geçer ve donmayı çözmek için zorunlu sıfırlama gerekir. Ancak cihaz yeniden başlatıldığında ve kullanıcı HomeKit’e bağlı iCloud hesabında tekrar oturum açtığında, hata yeniden tetiklenir.
Bir kullanıcının HomeKit’e eklenmiş herhangi bir cihazı olmasa bile, bir saldırgan sahte bir Ev ağı oluşturabilir ve bir kullanıcıyı bir kimlik avı e-postası aracılığıyla katılması için kandırabilir. Daha da kötüsü, Spiniolas, saldırganların iOS kullanıcılarına karşı fidye yazılımı saldırıları başlatmak, cihazları kullanılamaz duruma getirmek ve HomeKit cihazını güvenli bir dizi uzunluğuna geri ayarlamak için fidye ödemesi talep etmek için DoorLock güvenlik açığından yararlanabileceği konusunda uyardı.
Spiniolas, Apple’ın geçen yıl bir güvenlik güncellemesinde sorunu çözme sözü verdiğini, ancak bunun “2022’nin başlarına kadar” ertelendiğini ve Spiniolas’ın gecikmenin kullanıcılar için “ciddi bir risk” oluşturmasından korkan hatayı ifşa etmesine neden olduğunu söyledi.
“Güvenlik sorununu teyit etmelerine ve son dört ayda onları konuyu ciddiye almaları için defalarca uyarmama rağmen, çok az şey yapıldı” diye yazdı. “Konuyla ilgili durum güncellemeleri nadirdi ve sık sık istememe rağmen son derece az ayrıntı içeriyordu.”
“Apple’ın şeffaflık eksikliği, yalnızca genellikle ücretsiz çalışan güvenlik araştırmacıları için sinir bozucu olmakla kalmıyor, aynı zamanda Apple’ın güvenlik konularındaki sorumluluğunu azaltarak Apple ürünlerini günlük yaşamlarında kullanan milyonlarca insan için bir risk oluşturuyor.”
Güncelleme şimdi indirilebilir ve iPhone 6s ve üstü, tüm iPad Pro modelleri, iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil) için kullanılabilir.