باگ جدید هوم‌کیت منجر به چرخه مرگ در دستگاه‌های iOS می‌شود

آسیب‌پذیری یادشده که محقق امنیتی Trevor Spiniolas آن را کشف کرد، می‌تواند ازطریق HomeKit API اپل (رابط نرم‌افزاری که به برنامه‌های iOS اجازه می‌دهد دستگاه‌های خانگی هوشمند سازگار را کنترل کنند)، مورد سوءاستفاده مهاجمان قرار گیرد. در شرح این آسیب‌پذیری آمده است که اگر مهاجم یک نقطه‌ی اتصال هوم‌کیت با نام بسیار طولانی و در حدود ۵۰۰ هزار کاراکتر بسازد، دستگاه iOS که به آن متصل می‌شود، پس از خواندن نام دستگاه فعالیت‌هایش مختل و وارد چرخه‌ای از فریز شدن و راه‌اندازی مجدد می‌شود که فقط با پاک کردن یا بازیابی دستگاه می‌توان به آن پایان داد.

البته از آن‌جایی‌ که از نام دستگاه‌های هوم‌کیت در آی‌کلاد پشتیبان‌گیری می‌شود، ورود به همان حساب آی‌کلاد با یک دستگاه بازیابی‌شده دوباره باعث خرابی خواهد شد و این چرخه ادامه می‌یابد تا زمانی که صاحب دستگاه گزینه‌ی همگام‌سازی دستگاه‌های خانگی را از آی‌کلاد خاموش کند.

به‌طور کلی، ممکن است مهاجم بتواند دستگاه موجود کاربرانی را که با هوم‌کیت تعامل دارند، به خطر بیندازد؛ اما محتمل‌ترین راه این است که مهاجم یک شبکه‌ی Home جعلی ایجاد کند و کاربر را فریب دهد تا ازطریق ایمیل فیشینگ به آن ملحق شود. برای محافظت دربرابر حمله، مهم‌ترین موضوع این است که کاربران فوراً هر دعوتی برای پیوستن به یک شبکه‌ی خانگی ناآشنا را رد کنند.

کاربرانی که از دستگاه‌های خانه هوشمند استفاده می‌کنند، می‌توانند با ورود به کنترل سنتر و غیرفعال کردن تنظیمات «Show Home Controls» شانس خود را برای محافظت دربرابر چنین مشکلاتی افزایش دهند. این کار مانع استفاده از دستگاه‌های هوشمند خانگی نمی‌شود؛ اما دسترسی به اطلاعات ازطریق کنترل سنتر را محدود می‌کند.

مقاله‌ی مرتبط:iOS و iPadOS 15.2 با تغییرات مهم حریم خصوصی منتشر شد

اسپینیولس جزئیات یادشده را در وب‌سایت شخصی‌اش در یکم ژانویه ۲۰۲۲ منتشر کرد و ظاهراً آسیب‌پذیری مورد بحث، آخرین نسخه‌ی iOS 15.2 را نیز تحت تأثیر قرار می‌دهد. اسپینیولس همچنین اپل را به عملکرد ضعیف در برطرف کردن این آسیب‌پذیری متهم می‌کند. جالب است بدانید که محقق ایمیل‌هایی را به اشتراک گذاشته که نشان می‌دهد یکی از نمایندگان اپل مشکل مذکور را در سال ۲۰۲۱ تأیید کرده و از اسپینیولس خواسته است که تا اوایل سال ۲۰۲۲ از انتشار جزئیات خودداری کند.

پست وبلاگی که جزئیات این آسیب‌پذیری را توضیح می‌دهد ادعا می‌کند که اپل در ۱۰ اوت ۲۰۲۱ از مشکل مطلع شده است. اسپینیولس در این‌باره می‌گوید:

فقدان شفافیت اپل نه‌تنها برای محققان امنیتی که اغلب به‌صورت رایگان کار می‌کنند، ناامیدکننده است؛ بلکه برای میلیون‌ها کاربری که از محصولات این شرکت در زندگی روزمره‌ی خود استفاده می‌کنند، خطر ایجاد می‌کند.

تاکنون مشحص نیست که آسیب‌پذیری مذکور چه زمانی برطرف خواهد شد و اپل نیز از ارائه‌ی جزئیات و تأیید آن خودداری کرده است. با این‌ حال، طبق ادوار گذشته، گمان می‌رود که اپل وصله‌ی امنیتی مرتبط با هوم‌کیت را در به‌روزرسانی‌های نرم‌افزاری آینده ارائه دهد.

تحقیقات امنیتی حاکی از آسیب‌پذیری جدید اکوسیستم اپل است که می‌تواند دستگاه‌های iOS را ازطریق HomeKit API در چرخه‌ای از مشکلات همچون فریز شدن دستگاه و راه‌اندازی مجدد قرار دهد.