Apple, IOS 14.7 ve daha sonra HomeKit'i çalıştıran iPhone'lar ve iPad'lerin kullanılmasını engelleyen bir hizmetin (DOS) bir inkarını ele almak için güvenlik güncellemelerini yayınladı.
HomeKit, IOS ve IPADOS kullanıcılarının ağlarındaki akıllı ev aletlerini keşfetmelerini ve kontrol etmelerini sağlayan bir Apple Protokolü ve çerçevedir.
Şirketin bugün verilen bir güvenlik danışmanında açıklandığı gibi, CVE-2022-22588 olarak izlenen kapı kilit güvenlik açığı, kötü niyetli hazırlanmış homekit aksesuar adlarını işlerken etkilenen iOS ve iPados cihazlarını çarpacaktır.
Apple, 19.2.1 ve iPados 15.2.1'deki bu şiddetli kaynak tükenme sorununu ele geçirmiştir.
Günümüzde güvenlik güncelleştirmeleri alan cihazlar, iPhone 6'ları ve daha sonra iPad Pro (tüm modeller), iPad Air 2 ve sonraki sürümleri, iPad 5. nesil ve daha sonra, iPad Mini 4 ve daha sonra ve iPod Touch (7. nesil) bulunur.
"Dört ay önce, hala en son sürümde kalan iOS'taki ciddi bir hizmet hatası reddetti. Yeniden başlatmalarla devam ediyor ve belirli koşullar altında geri yüklemeden sonra tetikleyebilir," Trevor Spiniolas, Programcı ve "Başlangıç Güvenliği Araştırması" Benekli ve hatayı bildirdi.
"Tüm gereklilikler varsayılan ayarlardır. Birisi iOS cihazlarını kurduğunda, her şey zaten bu hatanın çalışması içindir. Oradan kötü niyetli bir ev davetiyesi kabul ederlerse, cihazları çalışmayı durdurur."
Spiniolas'a göre, Apple, 2021, 2021 Ağustos'tan bu yana kapı kilidini biliyordu, ancak düzeltmeyi umursamaya devam etmesine rağmen, güvenlik güncelleştirmesini birden çok kez itti.
Spinolas, "Bu hatanın kullanıcılar için ciddi bir risk oluşturduğu ve birçok ay kapsamlı bir düzeltme olmadan geçtiğine inanıyoruz" dedi.
"Halk bu güvenlik açığının farkında olmalı ve karanlığın içinde tutulmak yerine, nasıl kullanılmasını engelleyecektir."
Araştırmacı, saldırganların bir HomeKit cihazının adını 500.000 karaktere kadar olan büyük dizelerle değiştirmeleri ve hedefi bir ev davetiyesini kabul etmesini zorlardı.
Hedef saldırganın HomeKit ağına katıldıktan sonra, cihazları yanıt vermiyor ve sonunda çöküyor.
Böyle bir saldırıdan kurtulmanın tek yolu, HomeKit cihazına bağlı olan ICLOUD hesabına geri döndükten ve imzaladıktan ve imzalamadan sonra bir kez daha çarpma işleminin bir kez daha çarpılacağı göz önüne alındığında, devre dışı bırakılmış cihazın fabrikasını sıfırlayacaktır.
Eylül ayında, Yazılım Geliştiricisi Denis Tokarev, Apple'ın yamasını geciktirdikten sonra GitHub'daki GitHub'daki üç IOS sıfır günü kusurlarını da düşürdü.
Bir ay sonra, IOS 15.0.2'nin serbest bırakılmasıyla, Apple, Tokarev'in bildirdiği 'GAMED' sıfır gün güvenlik açıklarından birini belirledi.
Bununla birlikte, Apple onu keşif için onaylamadı ya da kredisi yapmadı ve aynı zamanda sessiz kalmasını istemedi ve şirketin Hata için kredi veremeyeceği başkalarına ifşa etmemesini istedi.
Diğer güvenlik araştırmacıları ve böcek ödül avcıları da benzer deneyimlerden geçtiler.
Apple iOS, Homekit 'Doorlock' Hisse Senedi Hissedişi İndirimine Uygun
iOS kötü amaçlı yazılım sahte iPhone, kamerada snoop için kapatılabilir, mikrofon
Bu görüntü Apple cihazlarında çok farklı görünüyor - kendiniz için görün
Google, Apple agresif veri toplama için İtalyanca otoritesiyle para cezası aldı
Microsoft: PowerDir Hatası Korumalı MacOS kullanıcı verilerine erişim sağlar
Kaynak: Bleeping Computer