En säkerhetsforskare har rapporterat en iOS 15.2-bugg som kan göra en iPhone helt värdelös även efter en återställning. Apple är tydligen medveten om buggen och lovar en åtgärd i början av 2022.
Trevor Spiniolas har upptäckt en bugg som kan utnyttjas via HomeKit API. En angripare som utnyttjar buggen skulle använda API:et för att ändra namnen på en användares HomeKit-enheter till något extremt långt (testnamnet hade 500 000 tecken), som i sin tur kommer att säkerhetskopieras till det associerade iCloud-kontot. Om användaren har hemenheter aktiverade i Control Center kommer iPhone inte att svara.
Spiniolas säger att omstart eller återställning av enheten inte hjälper så länge användaren fortsätter att logga in på samma iCloud-konto. Det finns lösningar men den enda lösningen skulle vara att byta namn på HomeKit-enheterna med hjälp av API:et.
Apple är medvetet om problemet, enligt Spiniolas, som rapporterade felet i augusti. Han säger att han informerade Apple om att han skulle publicera resultaten av sina resultat i januari 2022 och kritiserar Apples “brist på transparens” som “utsätter en risk för de miljontals människor som använder Apples produkter i sina dagliga liv genom att minska Apples ansvarighet i säkerhetsfrågor.” Han säger att Apple har försenat korrigeringen, som ursprungligen skulle komma i december, till början av 2022.
Även om det kan verka som ett långsökt fall, varnar Spiniolas för att problemet väcker möjligheten för ransomware. Förutom att ändra namnen på en användares HomeKit-enheter, målar han också en bild där en angripare “även skulle kunna skicka inbjudningar till ett hem som innehåller skadlig data till användare på någon av de beskrivna iOS-versionerna, även om de inte har en HomeKit-enhet.”
Han påstår att en angripare “kan använda e-postadresser som liknar Apple-tjänster eller HomeKit-produkter för att lura mindre teknikkunniga användare (eller till och med de som är nyfikna) att acceptera inbjudan och sedan kräva betalning via e-post i utbyte mot att åtgärda problemet.”
Spiniolas beskriver hur du åtgärdar problemet genom att återställa iPhone utan att logga in på samma iCloud-konto, sedan sjunga in efter installationen och omedelbart inaktivera “Hem”-omkopplaren. Han rekommenderar också att du tar bort genvägar för hemmet från kontrollcentret.
Michael Simon har bevakat Apple sedan iPod var iWalk. Hans besatthet av teknik går tillbaka till hans första PC – IBM Thinkpad med det lyftbara tangentbordet för att byta ut enheten. Han väntar fortfarande på att det ska komma tillbaka med stil tbh.
