Apple HomeKit doorLock漏洞危害iOS 14.7-15.2版本。
Apple HomeKit是一个软件框架,容许iPhone和iPad用户根据其机器设备操纵智能家居运用。安全性科研工作人员Trevor Spiniolas在Apple HomeKit中看到一个DoS漏洞——doorLock,漏洞危害iOS 14.7-15.2版本。
doorLock
当HomeKit设备的姓名被改动为一个特别大的字符串数组时(检测时采用的50万只标识符),安裝了受影响的iOS 版本的机器设备在载入该字符串数组时一定会被毁坏,乃至重新启动后依然会遭到危害。
假如机器设备的监测中心中沒有home机器设备,home app就越来越彻底没有用了,运行后便会崩溃。重新启动或升级机器设备并无法处理该问题。
假如监测中心中有home机器设备,iOS便会没法回应。全部对机器设备的键入都是会被忽视或显著延迟时间,没法根据USB来实现合理通讯。大概1min后,后台管理会被中断,机器设备依然初始化失败。重新启动或升级机器设备并无法处理该问题。由于USB通讯没法正常的工作中,因而用户很有可能会遗失全部当地数据信息,机器设备也不能应用、没法备份数据。假如用户以前早已拷贝了机器设备,重设机器设备后登陆与HomeKit设备关系的iCloud帐户后会告别昨日该漏洞。
PoC短视频参照:https://www.youtube.com/embed/_BmI5Otsm9I
https://www.youtube.com/embed/UwbhCliYuDg
受影响的版本
科学研究工作人员检测发觉iOS 14.7到iOS 15.2中间的全部iOS版本都遭受该漏洞的危害。科学研究工作人员检测时采用的设施包含:
iPhone 7 (iOS 15.2-14.7)
iPad 6 (iOS 15.0 beta、iOS 14.7)
iPhone XS (iOS 14.7.1 & 14.7)
尽管沒有开展详细的检测,但科研工作人员剖析觉得该漏洞危害全部的iOS 14版本。
漏洞修补进度
科学研究工作人员早在8月10日就将该漏洞递交给了美国苹果公司,苹果公司回应称方案在2022年前根据安全补丁修补该漏洞。2021年12月8日,微软公司称将在2022年初修补该漏洞。因为该漏洞对用户会产生明显的危害,因而科学研究员工在12月9日通告微软公司将于1月1日公布该漏洞。现阶段,美国苹果公司仍未修补该漏洞。
详细关键技术参照:https://trevorspiniolas.com/doorlock/doorlock.html
文中翻譯自:https://www.bleepingcomputer.com/news/security/apple-ios-vulnerable-to-homekit-doorlock-denial-of-service-bug/倘若转截,请标明全文详细地址。