智能家居平臺(tái)HomeKit或存安全漏洞 可能存在iOS 14版本上

2021年8月，一名研究人員向蘋(píng)果公司披露了iOS中的一個(gè)漏洞，該漏洞使用HomeKit作為涉及超長(zhǎng)設(shè)備名稱(chēng)的攻擊媒介。

與其他產(chǎn)品一樣，蘋(píng)果熱衷于為用戶(hù)提供盡可能安全的HomeKit。在1月1日發(fā)布的一份報(bào)告中，該智能家居平臺(tái)似乎存在一個(gè)漏洞，可能會(huì)給其用戶(hù)帶來(lái)影響。

根據(jù)安全研究員Trevor Spiniolas的說(shuō)法，如果HomeKit設(shè)備名稱(chēng)被更改為“超長(zhǎng)字符串”(在測(cè)試中設(shè)置為50萬(wàn)個(gè)字符)，加載該字符串的iOS和iPadOS設(shè)備可能會(huì)重新啟動(dòng)并無(wú)法使用。此外，由于該名稱(chēng)存儲(chǔ)在iCloud中，并在登錄到同一賬戶(hù)的所有其他iOS設(shè)備上更新，因此該漏洞可能會(huì)重復(fù)出現(xiàn)。

Spiniolas稱(chēng)這個(gè)漏洞為“doorLock”，并聲稱(chēng)它會(huì)影響正在測(cè)試的iOS 14.7及以上的所有iOS版本，盡管它很可能也存在于所有iOS 14版本上。

此外，盡管iOS 15.0或15.1中的更新對(duì)應(yīng)用或用戶(hù)可以設(shè)置的名稱(chēng)長(zhǎng)度進(jìn)行了限制，但該名稱(chēng)仍然可以由以前的iOS版本更新。如果該漏洞在沒(méi)有限制的iOS版本上觸發(fā)，并共享HomeKit數(shù)據(jù)，則與其共享數(shù)據(jù)的所有設(shè)備也將受到影響，無(wú)論版本如何。

如果設(shè)備未在控制中心啟用家庭設(shè)備，則可能會(huì)出現(xiàn)兩種情況：發(fā)現(xiàn)家庭應(yīng)用無(wú)法使用并崩潰。無(wú)論是重新啟動(dòng)還是更新都不能解決問(wèn)題，如果登錄到同一iCloud帳戶(hù)，恢復(fù)的設(shè)備將再次使家庭應(yīng)用不可用。

對(duì)于在控制中心啟用了家庭設(shè)備的iPhone和iPad，iOS本身會(huì)變得沒(méi)有響應(yīng)。輸入變得延遲或被忽略，設(shè)備沒(méi)有響應(yīng)，并且偶爾會(huì)重新啟動(dòng)。