Исследователь безопасности обнаружил уязвимость в платформе Apple HomeKit, которая может привести к тому, что ваш iPhone (или любой другой человек, имеющий доступ к вашей настройке Apple Home) станет непригодным для использования. Об ошибке сообщил исследователь безопасности Тревор Спиниолас, который подробно описал в своем блоге, что имя устройства HomeKit, измененное на что-то около 500 000 символов, является причиной проблем …
В сообщении блога Спиниолас говорит, что об ошибке было впервые сообщено в Apple 10 августа, и она остается в iOS 15.2. Компания якобы пообещала решить проблему в обновлении безопасности до 2022 года, но не выполнила это обещание. Теперь Apple заявляет, что вернется к проблеме «в начале 2022 года», но Спиниолас берет дело в свои руки, чтобы тем временем публично раскрыть информацию.
Вот краткое изложение ошибки, согласно сообщению в блоге Спиниоласа:
Когда имя устройства HomeKit изменяется на большую строку (500 000 символов при тестировании), любое устройство с установленной уязвимой версией iOS, загружающей строку, будет прервано даже после перезагрузки. Восстановление устройства и повторный вход в учетную запись iCloud, связанную с устройством HomeKit, снова вызовут ошибку.
Исследователь безопасности отмечает, что в iOS 15.1 Apple добавила ограничение на длину имени, которое приложение или пользователь может установить для домашнего аксессуара.
Используя Apple HomeKit API, любое приложение iOS, имеющее доступ к данным Home, может изменять имена устройств HomeKit. В iOS 15.1 (или, возможно, 15.0) было введено ограничение на длину имени, которое может установить приложение или пользователь. В версиях iOS, предшествующих этим, приложение может вызвать ошибку, поскольку этого ограничения нет. Если ошибка возникает в версии iOS без ограничения, и устройство передает данные HomeKit устройству с версией iOS с ограничением, это все равно будет затронуто.
Примечательно, что ошибка затрагивает пользователей, даже если к ним не добавлены домашние устройства. Это могло бы произойти, если бы кто-то принял «приглашение в дом, содержащий устройство HomeKit с большой строкой в качестве имени». Это верно даже для последней версии iOS 15.2.
«Если бы злоумышленник воспользовался этой уязвимостью, он бы с гораздо большей вероятностью использовал бы приглашения Home, а не приложение, поскольку приглашения не требовали бы от пользователя фактического владения устройством HomeKit», — продолжает Спиниолас.
Результат
Итак, каков будет результат, если это повлияет на вас? В основном это сводится к тому, включены ли у вас домашние устройства в Центре управления. Как отмечает Спиниолас, домашние устройства, включенные в Control Center, являются поведением по умолчанию, когда пользователь имеет доступ к домашним устройствам.
Вот что произойдет, если на устройствах не включены домашние устройства в Центре управления:
Приложение Home станет полностью непригодным для использования и выйдет из строя при запуске. Перезагрузка или обновление устройства не решает проблему. Если устройство будет восстановлено, но затем снова войдет в ранее использованный iCloud, приложение Home снова станет непригодным для использования.
И если на ваших устройствах есть домашние устройства, включенные в Центре управления:
iOS перестанет отвечать. Все входящие данные в устройство игнорируются или значительно задерживаются, и оно не сможет полноценно обмениваться данными через USB. Примерно через минуту backboardd будет остановлен сторожевым таймером и перезагрузится, но устройство не будет отвечать. Этот цикл будет повторяться бесконечно с периодической перезагрузкой. Однако перезагрузка не решает проблему, как и обновление устройства. Поскольку USB-связь больше не будет работать, кроме как в режиме восстановления или DFU, на этом этапе пользователь фактически потерял все локальные данные, поскольку его устройство непригодно для использования и не может быть выполнено резервное копирование. Важно то, что если пользователь восстанавливает свое устройство и снова входит в ранее использованный iCloud, связанный с данными, ошибка снова будет вызвана с теми же эффектами, что и раньше.
Вот видео об этой проблеме в действии:
‘s Take
Эта ошибка HomeKit важна по всем причинам, которые Спиниолас изложил в своем сообщении в блоге. Однако, возможно, еще более тревожным является то, что Apple знала об этой проблеме с августа и еще не выпустила полное исправление. Система сообщений об ошибках Apple на протяжении многих лет подвергалась критике, и ясно, что не все причуды были устранены.
Вы можете прочитать полную запись в блоге с более подробной информацией об этой уязвимости прямо здесь. Опять же, Apple, как сообщается, пообещала Спиниоласу, что исправит эту проблему «в начале 2022 года», но дополнительных подробностей нет.
![«Это способ… найти друзей», — гласит умная реклама нового iPhone 15. [Video]](https://applepro.news/wp-content/uploads/2024/05/1714781228_eto-sposob…-najti-druzej-—-glasit-umnaya-reklama-novogo-iphone-100x100.jpg)
![«Это способ… найти друзей», — гласит умная реклама нового iPhone 15. [Video]](https://applepro.news/wp-content/uploads/2024/05/1714781228_eto-sposob…-najti-druzej-—-glasit-umnaya-reklama-novogo-iphone.jpg)