Apple phát hành bản vá iPhone và iPad mới để vá lỗ hổng bảo mật HomeKit DoS

Apple phát hành bản vá iPhone và iPad mới để vá lỗ hổng bảo mật HomeKit DoS

Apple đã tung ra các bản cập nhật phần mềm cho iOS và iPadOS để khắc phục sự cố từ chối dịch vụ (DoS) liên tục ảnh hưởng đến khung nhà thông minh HomeKit có khả năng bị lợi dụng để khởi động các cuộc tấn công giống như ransomware nhắm vào các thiết bị.

Apple phát hành bản vá iPhone và iPad mới để vá lỗ hổng bảo mật HomeKit DoS

Nhà sản xuất iPhone, trong ghi chú phát hành cho iOS và iPadOS 15.2.1, gọi đó là "vấn đề cạn kiệt tài nguyên" có thể xảy ra khi xử lý tên phụ kiện HomeKit được chế tạo độc hại, thêm vào đó, nó đã giải quyết lỗi bằng cách cải thiện xác thực.

Lỗ hổng được gọi là "doorLock", được theo dõi là CVE-2022-22588, ảnh hưởng đến HomeKit, API phần mềm để kết nối các thiết bị gia đình thông minh với các ứng dụng iOS.

Nếu nó được khai thác thành công, iPhone và iPad có thể bị đưa vào vòng xoáy tai nạn chỉ bằng cách thay đổi tên của thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự và lừa mục tiêu chấp nhận lời mời gia đình độc hại.

Tệ hơn nữa, vì tên thiết bị HomeKit được sao lưu vào iCloud nên việc đăng nhập lại vào tài khoản iCloud bị ảnh hưởng được liên kết với thiết bị ‌HomeKit‌ có thể kích hoạt lại tình trạng DoS và khiến thiết bị rơi vào chu kỳ lỗi vô tận và chỉ có thể kết thúc khởi động lại. bằng cách khôi phục chúng về cài đặt gốc.

Mặc dù công ty đã cố gắng giảm thiểu vấn đề bằng cách đưa ra giới hạn về độ dài của tên ứng dụng hoặc người dùng có thể đặt, nhưng họ nhận thấy rằng họ không làm gì để ngăn kẻ tấn công chạy phiên bản trước đó cho phép tên thiết bị quá dài và sau đó khiến nạn nhân chấp nhận một lời mời lừa đảo qua email lừa đảo.

Bản sửa lỗi được đưa ra vài tuần sau khi nhà nghiên cứu bảo mật Trevor Spiniolas, người phát hiện ra lỗ hổng bảo mật, kêu gọi công ty không "nghiêm túc hóa vấn đề" mặc dù đã báo cáo vào tháng 8 năm 2021 và khiến khách hàng của họ tiếp xúc với một vấn đề khá nghiêm trọng.

Spiniolas cho biết: “Sự thiếu minh bạch của Apple không chỉ gây khó chịu cho các nhà nghiên cứu bảo mật, những người thường làm việc miễn phí, mà còn gây ra rủi ro cho hàng triệu người sử dụng các sản phẩm của Apple trong cuộc sống hàng ngày bằng cách giảm trách nhiệm giải trình của Apple về các vấn đề bảo mật.

Hương