据BleepingComputer网站报道,在苹果Apple HomeKit 中发现了一个名为“doorLock”的新式不断拒绝服务攻击系统漏洞,危害的系统版本从IOS14.7到IOS15.2。
Apple HomeKit 是苹果发布的智能家居系统服务平台,可让 iPhone 和 iPad 客户从她们的机器设备操纵智能家居产品。依据公布透露的关键点,苹果自 2021 年 8 月 10 日起就明白该系统漏洞,虽然服务承诺会将其修补,但到现在仍然难以解决。
为了更好地开启“doorLock”, 网络攻击会将 HomeKit 机器设备的名字更改成超过50万只标识符的字符串数组,即使总体目标客户没在 HomeKit 上加上一切 Home 机器设备,依然存有根据仿冒和接纳加上邀约的进攻方式。在试着载入大字符串数组时,运作易受攻击的 iOS 版本号的设施将进到拒绝服务攻击 (DoS) 情况,强制性重设是唯一的发展方向。可是,重设机器设备将造成全部储存的数据资料被删掉,而且仅有在有备份数据时才能够修复。
更加槽糕的是,一旦机器设备重启而且客户再次登陆到与 HomeKit 机器设备关系的 iCloud 账号,该系统漏洞便会再次开启。
在iOS15.0或iOS15.1系统版本中,引进了对应用软件或客户可以设定的名字长短的限定对策,但不能从源头上避开这类进攻,这必须iOS 修补或健全 HomeKit 设备名称的方法。目前,假如网络攻击要运用此系统漏洞,她们将更有可能应用Home邀约而不是应用软件,由于邀约不用客户具体有着 HomeKit 机器设备。
这类进攻一样可以被网络攻击用于执行敲诈勒索,客户仅有付款保释金,才可以将HomeKit 机器设备设定回安全性的字符串长度。
因为可以利用在监测中心禁止使用智能家居设备来避开此系统漏洞,因而,早期的防止是现阶段最有效的对策,假如机器设备悲剧“有没有中招”,可试着从下面3个流程从iCloud 数据恢复:
- 从修复或 DFU 方式修复受影响的机器设备
- 像以往一样设定机器设备,但不必再次登陆iCloud帐户
- 设定成功后,从设定登陆iCloud,随后马上禁止使用标着“首页”的电源开关,这时机器设备和 iCloud应当可以继续运作而不用浏览家中数据信息。
据科研工作人员称,苹果企业对于此事系统漏洞的修补時间预估是2022年初,将根据操作系统的安全补丁来进行。
参照来源于:https://www.bleepingcomputer.com/news/security/apple-ios-vulnerable-to-homekit-doorlock-denial-of-service-bug/