蘋果釋出iPhone和iPad更新以修補HomeKit DoS漏洞

蘋果週三推出了iOS和iPadOS的軟體更新，以修復影響HomeKit智慧家居框架的持續拒絕服務（DoS）問題，該問題可能被利用來針對這些裝置發起類似勒索軟體的攻擊。

這家iPhone製造商在其iOS和iPadOS 15.2.1的發行說明中將其稱為"資源耗盡問題"，在處理惡意製作的HomeKit配件名稱時可能會觸發，並補充說它透過改進的驗證解決了該錯誤。

所謂的"doorLock"漏洞，跟蹤為CVE-2022-22588，影響HomeKit，這是用於將智慧家居裝置連線到iOS應用程式的軟體API。

如果它被成功利用，iPhone和iPad可以透過將HomeKit裝置的名稱更改為大於500，000個字元的字串並誘使目標接受惡意的家庭邀請，從而陷入崩潰螺旋。

更糟糕的是，由於HomeKit裝置名稱已備份到iCloud，因此重新登入與HomeKit裝置關聯的受影響的iCloud帳戶可以重新觸發DoS條件，並導致裝置進入無休止的崩潰和重啟迴圈，只能透過將其恢復為出廠設定來結束。

儘管該公司試圖透過對應用程式或使用者可以設定的名稱的長度進行限制來緩解此問題，但發現它沒有采取任何措施來阻止攻擊者執行允許過長裝置名稱的早期版本，然後讓受害者透過網路釣魚電子郵件接受流氓邀請。

在發現該漏洞的安全研究員特雷弗·斯皮尼奧拉斯（Trevor Spiniolas）幾周後，他呼籲該公司未能"認真對待此事"，儘管該公司已於2021年8月報告了此事，並使其客戶面臨一個相當嚴重的問題。

"蘋果缺乏透明度不僅讓經常免費工作的安全研究人員感到沮喪，而且透過減少蘋果在安全問題上的問責制，對數百萬在日常生活中使用蘋果產品的人構成了風險，"斯皮尼奧拉斯說。