Спустя 5 месяцев Apple еще не исправила ошибку iOS, которая отправляет устройства в спираль аварийного отказа.

Getty Images

Исследователь сказал, что Apple потратила время на исправление ошибки iOS, которая позволяет злоумышленникам полностью отключить устройство iOS, если жертва не выполнит восстановление заводских настроек и другие громоздкие действия.

HomeKit – это протокол связи, разработанный Apple, который позволяет людям использовать свои iPhone или iPad для управления освещением, телевизором, сигнализацией и другими домашними или офисными устройствами. Пользователи могут настроить свои устройства на автоматическое обнаружение устройств в одной сети, а также поделиться этими настройками с другими людьми, чтобы они могли использовать свой iPhone или iPad для управления устройствами. Функция совместного использования позволяет новым людям – например, няне или няне – управлять устройствами пользователя.

Тревор Спинолас, программист, описывающий себя, и «младший исследователь безопасности», недавно сказал Ошибка в этой функции позволила бы кому-то отправить устройство iOS в бесконечную спираль сбоев. Его можно активировать с помощью очень длинного имени – до 500 000 символов – для идентификации смарт-устройства и последующего принятия пользователем приглашения в эту сеть.

Как показано в демонстрационных видеороликах ниже, устройство постепенно перестает отвечать, пока наконец не остановится полностью. Перезагрузка устройства не помогает. К моменту появления экрана входа в систему ввести фразу-пароль невозможно. Осталось только восстановить заводские настройки. И даже тогда, когда устройство будет восстановлено, оно снова перестанет отвечать на запросы, если вы снова войдете в свою учетную запись iCloud во время настройки.

Уязвимость HomeKit, связанная с отказом в обслуживании (установка после восстановления)

Двойная услуга отказа в обслуживании HomeKit (через домашний звонок)

Спиниолас сказал, что уведомил Apple об ошибке в августе и получил ответ, в котором говорилось, что она будет исправлена ​​к концу года. Позже, по словам исследователя, Apple сообщила, что исправление появится в начале 2022 года. Именно тогда он сообщил компании, что намерен публично раскрыть ошибку.

Он написал: «Я считаю, что с этой ошибкой обращаются ненадлежащим образом, поскольку она представляет серьезный риск для пользователей, и прошло несколько месяцев без полного исправления». «Общественность должна знать об этой уязвимости и о том, как предотвратить ее использование, а не скрывать ее».

Исследователь сказал, что Apple недавно обновила операционную систему iOS, чтобы уменьшить проблему. Патч ограничивает количество символов в именах устройств. Но это никак не мешает злоумышленнику запустить более раннюю версию, которая позволяет использовать очень длинные имена устройств, а затем подтолкнуть кого-то принять приглашение. Даже если на ресивере установлена ​​последняя версия iOS, устройство будет полностью заблокировано.

Эта ошибка отказа в обслуживании относительно проста по сравнению с Слабые стороны Zero Click Что часто позволяет злоумышленникам Выполнение вредоносного кода на iPhone. Но если Apple хочет побудить пользователей доверять своим устройствам iOS, ей действительно нужно исправить эту ошибку. Представители Apple не ответили на электронное письмо с просьбой прокомментировать эту статью.

READ  Google Pixel 6 Pro - взгляд геймера

Leonid Morozov

Создатель. Любитель кофе. Любитель Интернета. Организатор. Выродок поп-культуры. Поклонник телевидения. Гордый кулинарa

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Наверх