據The Verge網站1月3日報道,安全研究員特雷弗 · 斯皮尼奧拉斯發現並披露了一個存在於蘋果IOS系統中的漏洞,使用Homekit API進行攻擊,而且蘋果修復該漏洞的速度非常緩慢。
特雷弗 · 斯皮尼奧拉斯介紹,如果攻擊者建立了一個名稱非常長的 Homekit 裝置,那麼一旦連線到該裝置的 IOS 裝置讀取了該裝置的名稱,它就會失去響應,進入一個凍結和重啟的迴圈,只有透過擦除和恢復 IOS 裝置才能結束這個迴圈。
圖片來自:Google
此外,由於 Homekit 裝置的名稱備份到 icloud,用恢復的裝置登入到同一個 icloud 賬戶將再次引發崩潰,這個迴圈一直持續到裝置所有者關閉從 icloud 同步家庭裝置的選項。儘管攻擊者可能會侵入使用者現有的支援 Homekit 的裝置,但最有可能引發這種攻擊的方式是攻擊者建立了一個家庭網路,欺騙使用者透過釣魚郵件加入攻擊者。
為了防範攻擊,IOS 使用者的主要預防措施是立即拒絕任何加入陌生家庭網路的邀請。此外,目前使用智慧家居裝置的 IOS使用者可以透過進入控制中心並禁用設定“ show home controls”來保護自己,這不會阻止家庭裝置的使用,但限制哪些資訊可以透過控制中心訪問。
1月1日,斯皮尼奧拉斯在他的個人網站上公佈了詳細資訊。蘋果公司曾稱讚他在2019年發現了蘋果IOS系統的漏洞。斯皮尼奧拉斯說,新的漏洞影響到最新 IOS 版本15.2,至少可以追溯到14.7。
(編譯:寧璐)
