AppleiOSHomeKitdoorLock漏洞

Apple HomeKit doorLock 漏洞影响 iOS 14 。7-15 。2 版本 。
Apple HomeKit 是一个软件框架,允许 iPhone 和 iPad 用户通过其设备控制智能家居应用 。安全研究人员 Trevor Spiniolas 在 Apple HomeKit 中发现一个 DoS 漏洞—— doorLock,漏洞影响 iOS 14 。7-15 。2 版本 。
doorLock
当 HomeKit 设备的名字被修改为一个非常大的字符串时(测试时使用的 50 万个字符),安装了受影响的 iOS 版本的设备在加载该字符串时都会被破坏,甚至重启后仍然会受到影响 。
如果设备的控制中心中没有 home 设备,home app 就变得完全没有用了,启动后就会奔溃 。重启或更新设备并不能解决该问题 。
【AppleiOSHomeKitdoorLock漏洞】如果控制中心中有 home 设备,iOS 就会无法响应 。所有对设备的输入都会被忽略或明显延迟,无法通过 USB 来进行有效通信 。大约 1 分钟后,后台会被中止,设备仍然没有响应 。重启或更新设备并不能解决该问题 。因为 USB 通信无法正常工作,因此用户可能会丢失所有本地数据,设备也无法使用、无法备份 。如果用户之前已经备份了设备,重置设备后登入与 HomeKit 设备关联的 iCloud 账户后会再次出发该漏洞 。
PoC 视频参见:https://www 。youtube 。com/embed/_BmI5Otsm9I
https://youtube 。com/watch?v=UwbhCliYuDg
受影响的版本
研究人员测试发现 iOS 14 。7 到 iOS 15 。2 之间的所有 iOS 版本都受到该漏洞的影响 。研究人员测试时使用的设备包括:
iPhone 7 ( iOS 15 。2-14 。7 )
iPad 6 ( iOS 15 。0 beta、iOS 14 。7 )
iPhone XS ( iOS 14 。7 。1 & 14 。7 )
虽然没有进行完整的测试,但研究人员分析认为该漏洞影响所有的 iOS 14 版本 。
漏洞修复进展
研究人员早在 8 月 10 日就将该漏洞提交给了苹果公司,苹果公司回复称计划在 2022 年前通过安全更新修复该漏洞 。2021 年 12 月 8 日,微软称将在 2022 年初修复该漏洞 。由于该漏洞对用户会带来严重的威胁,因此研究人员在 12 月 9 日通知微软将于 1 月 1 日公开该漏洞 。目前,苹果公司仍未修复该漏洞 。
完整技术细节参见:https://trevorspiniolas 。com/doorlock/doorlock 。html

    推荐阅读