Bug został odkryty w iOS 14.7. Od pół roku Apple go nie załatało. Do czego można wykorzystać lukę?

Do sieci trafiły nowe informacje o błędzie w systemie operacyjnym iOS 14.7, który może zostać wykorzystany przez hakerów. Początkowo usterka została zgłoszona do Apple 10 sierpnia 2021 roku. Całość wykryto na iOS 14.7 - ostatniej aktualizacji rozwojowej iOS 14 przed premierą iOS 15. Niestety Apple do dnia dzisiejszego nie załatało luki. Jest ona obecna nawet w najnowszym iOS 15.2 wydanym w grudniu 2021 roku.

HomeKit Źródło: macworld.com

Chociaż testy błędu przeprowadzono na iOS 14.7, to bardzo prawdopodobna jest jego obecność w każdej kompilacji iOS 14.

Luka o nazwie doorLock związana jest z HomeKit. Po zmianie nazwy urządzenia na taką o długości co najmniej 500000 znaków konto iCloud nie jest w stanie poprawnie funkcjonować. Po zmianie nazwy możemy spodziewać się dwóch rzeczy. Uszkodzona zostanie aplikacja Dom. Nie da się jej naprawić nawet po przywróceniu smartfona do ustawień fabrycznych, ponieważ błąd zostaje zapisany na koncie iCloud. Centrum sterowania domem przestaje działać i może powodować chwilowe zawieszanie się smartfonów.

Dodatkowo hakerzy mogą wykorzystać lukę, aby zablokować dostęp do wszystkich urządzeń powiązanych z iCloud pracujących pod kontrolą iOS niezależnie od zainstalowanej wersji systemu operacyjnego.

Hakerzy wysyłają wiadomości email z prośbą o zapłatę w celu rozwiązania wyżej wymienionych problemów. Sytuacja jest wykorzystywana nawet w stosunku do użytkowników, którzy nie posiadają urządzeń HomeKit.

Apple załata lukę w iOS 15.3. Aktualnie nie ma sprawdzonego sposobu na odzyskanie danych z HomeKit po zmianie nazwy.