Peneliti Merinci Bug ‘doorLock’ HomeKit Baru yang Mempengaruhi Apple iOS

  • Whatsapp

News.nextcloud.asia –

Apple iOS HomeKit

Kerentanan penolakan layanan (DoS) persisten telah ditemukan di sistem operasi seluler iOS Apple yang mampu membuat perangkat yang terpengaruh mengalami crash atau reboot loop saat terhubung ke alat yang kompatibel dengan Apple Home.

Perilaku yang disebut “doorLock” itu sepele karena dapat dipicu hanya dengan mengubah nama perangkat HomeKit menjadi string yang lebih besar dari 500.000 karakter.

Ini menyebabkan iPhone atau iPad yang mencoba menyambung ke perangkat menjadi tidak responsif dan memasuki siklus kegagalan sistem yang tidak terbatas dan memulai ulang yang hanya dapat dikurangi dengan memulihkan perangkat yang terpengaruh dari Mode Pemulihan atau DFU (Pembaruan Firmware Perangkat).

Pencadangan GitHub Otomatis

BerandaKit adalah kerangka kerja perangkat lunak Apple yang memungkinkan pengguna iOS dan iPadOS untuk mengonfigurasi, berkomunikasi dengan, dan mengontrol aksesori yang terhubung dan peralatan rumah pintar menggunakan perangkat Apple.

“Perangkat apa pun dengan versi iOS yang terpengaruh diinstal yang memuat string akan terganggu, bahkan setelah reboot,” peneliti keamanan Trevor Spiniolas dikatakan. “Memulihkan perangkat dan masuk kembali ke akun iCloud yang ditautkan ke perangkat HomeKit akan memicu bug lagi.”

Cacat tersebut berdampak pada versi terbaru iOS, 15.2, dan kembali setidaknya sejauh versi 14.7, dengan kelemahan kemungkinan ada pada semua versi iOS 14 dari 14.0. Apple, pada bagiannya, diberitahu tentang bug pada 10 Agustus 2021, dengan perusahaan bertujuan untuk menyelesaikan cacat pada awal 2022.

Sementara pembuat iPhone telah berusaha untuk mengurangi masalah dengan memperkenalkan batas ukuran lokal pada penggantian nama perangkat HomeKit, Spiniolas mencatat bahwa masalah inti tentang bagaimana iOS menangani nama perangkat HomeKit tetap belum terselesaikan.

Dalam skenario serangan dunia nyata, doorLock dapat dieksploitasi oleh penyerang dengan mengirimkan undangan jahat untuk menyambung ke perangkat HomeKit dengan string besar yang tidak normal seperti namanya, secara efektif mengunci pengguna dari data lokal mereka dan mencegah mereka masuk kembali ke iCloud di iOS.

Mencegah Pelanggaran Data

Lebih buruk lagi, karena nama perangkat HomeKit juga disimpan di iCloud, masuk ke akun iCloud yang sama dengan perangkat yang dipulihkan akan memicu kerusakan sekali lagi, kecuali jika pemilik perangkat memilih untuk menonaktifkan opsi untuk menyinkronkan data HomeKit.

“Bug ini menimbulkan risiko yang signifikan terhadap data pengguna iOS, tetapi publik dapat melindungi diri mereka sendiri dari efek terburuknya dengan menonaktifkan perangkat Rumah di [the] pusat kendali untuk melindungi data lokal,” kata Spiniolas. “Saya yakin masalah ini membuat ransomware layak untuk iOS, yang sangat signifikan.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.