Os dispositivos baseados em iOS da Apple podem entrar em um ciclo de congelamento e travamento e, eventualmente, tornar-se inutilizáveis devido a uma vulnerabilidade do HomeKit que foi exposta por um pesquisador de segurança. O problema existe em todas as versões do iOS, começando com iOS 14.7. Os usuários do iPhone com a versão mais recente do iOS também são afetados pela vulnerabilidade de negação de serviço, disse o pesquisador. Diz-se que a Apple está ciente do problema e supostamente promete resolvê-lo antes de 2022. A falha, no entanto, ainda não foi corrigida.
O pesquisador de segurança Trevor Spiniolas detalhou o escopo da vulnerabilidade do HomeKit que foi inicialmente relatada à Apple em 10 de agosto do ano passado. O invasor pode explorar a falha e colocar seu iPhone ou iPad em um ciclo de congelamento e travamento, conectando-o a um dispositivo HomeKit que possui um nome bastante longo, com cerca de 500.000 caracteres, explicou o pesquisador.
Diz-se que o dispositivo iOS não responde ao ler o nome do dispositivo. O invasor também pode desencadear a vulnerabilidade usando um aplicativo para renomear um dispositivo HomeKit existente. Alternativamente, ele pode ser explorado enviando um convite para um novo dispositivo HomeKit com um nome longo.
Segundo o pesquisador, a Apple introduziu um limite para o nome que um aplicativo ou usuário pode definir para um dispositivo HomeKit no iOS 15.1. Isso ajudará a reduzir o impacto até certo ponto, já que o invasor não poderia impactar os usuários acionando a vulnerabilidade após renomear um dos dispositivos HomeKit conectados. Mesmo assim, o problema ainda pode afetar os usuários nas versões mais recentes do iOS se um dispositivo HomeKit com um nome extremamente longo for conectado por meio de um convite.
O pesquisador também descobriu que, como a Apple armazena os nomes dos dispositivos HomeKit conectados no iCloud, o problema persiste mesmo que o usuário restaure um dispositivo iOS.
“Se o dispositivo for restaurado, mas depois fizer login novamente no iCloud usado anteriormente, o aplicativo Home ficará novamente inutilizável”, disse o pesquisador.
Spiniolas criou um vídeo para dar uma breve visão do impacto da vulnerabilidade mesmo após a restauração de um iPhone.
Os usuários podem rejeitar convites aleatórios de dispositivos HomeKit em seus iPhone e iPad para evitar serem afetados pela vulnerabilidade. Os usuários que já usam dispositivos domésticos inteligentes também podem proteger seu hardware desativando a configuração Mostrar controles domésticos após acessar o Centro de controle.
Caso você já seja alvo de um invasor, o pesquisador informa que você pode resolver o problema após restaurar o dispositivo afetado do modo de recuperação ou DFU e configurá-lo normalmente sem se inscrever em sua conta iCloud. Depois de se inscrever, você deve entrar no iCloud nas configurações e desativar a opção Home imediatamente após fazer login.
Spiniolas disse que embora tenha informado a Apple sobre o bug em agosto, a empresa não conseguiu trazer uma correção desde o último prazo, 1º de janeiro.
“Acredito que este bug está sendo tratado de forma inadequada, pois representa um sério risco para os usuários e muitos meses se passaram sem uma correção abrangente”, disse o pesquisador.
Em 2019, a Apple deu crédito a Spiniolas por relatar uma vulnerabilidade no macOS Mojave. O pesquisador, porém, acusou a fabricante do iPhone de dar resposta insuficiente à nova vulnerabilidade.
O Gadgets 360 entrou em contato com a Apple para comentar o assunto. Este relatório será atualizado quando a empresa responder.
source – www.gadgets360.com
