蘋果粉點點讚
2021年8月,一名研究人員向蘋果公司披露了iOS中的一個漏洞,該漏洞使用HomeKit作為涉及超長設備名稱的攻擊媒介。
與其他產品一樣,蘋果熱衷於為用戶提供盡可能安全的HomeKit。在1月1日發布的一份報告中,該智能家居平台似乎存在一個漏洞,可能會給其用戶帶來影響。
根據安全研究員TrevorSpiniolas的說法,如果HomeKit設備名稱被更改為“超長字符串”(在測試中設置為50萬個字符),加載該字符串的iOS和iPadOS設備可能會重新啟動并無法使用。此外,由於該名稱存儲在iCloud中,并在登錄到同一賬戶的所有其他iOS設備上更新,因此該漏洞可能會重復出現。
Spiniolas稱這個漏洞為“doorLock”,并聲稱它會影響正在測試的iOS14.7及以上的所有iOS版本,盡管它很可能也存在於所有iOS14版本上。
此外,盡管iOS15.0或15.1中的更新對應用或用戶可以設置的名稱長度進行了限制,但該名稱仍然可以由以前的iOS版本更新。如果該漏洞在沒有限制的iOS版本上觸發,并共享HomeKit數據,則與其共享數據的所有設備也將受到影響,無論版本如何。
如果設備未在控制中心啟用家庭設備,則可能會出現兩種情況:發現家庭應用無法使用并崩潰。無論是重新啟動還是更新都不能解決問題,如果登錄到同一iCloud帳戶,恢復的設備將再次使家庭應用不可用。
對於在控制中心啟用了家庭設備的iPhone和iPad,iOS本身會變得沒有響應。輸入變得延遲或被忽略,設備沒有響應,并且偶爾會重新啟動。
