2021年8月,一名研究人员向苹果公司披露了iOS中的一个漏洞,该漏洞使用HomeKit作为涉及超长设备名称的攻击媒介。
与其他产品一样,苹果热衷于为用户提供尽可能安全的HomeKit。在1月1日发布的一份报告中,该智能家居平台似乎存在一个漏洞,可能会给其用户带来影响。
根据安全研究员Trevor Spiniolas的说法,如果HomeKit设备名称被更改为“超长字符串”(在测试中设置为50万个字符),加载该字符串的iOS和iPadOS设备可能会重新启动并无法使用。此外,由于该名称存储在iCloud中,并在登录到同一账户的所有其他iOS设备上更新,因此该漏洞可能会重复出现。
Spiniolas称这个漏洞为“doorLock”,并声称它会影响正在测试的iOS 14.7及以上的所有iOS版本,尽管它很可能也存在于所有iOS 14版本上。
此外,尽管iOS 15.0或15.1中的更新对应用或用户可以设置的名称长度进行了限制,但该名称仍然可以由以前的iOS版本更新。如果该漏洞在没有限制的iOS版本上触发,并共享HomeKit数据,则与其共享数据的所有设备也将受到影响,无论版本如何。
如果设备未在控制中心启用家庭设备,则可能会出现两种情况:发现家庭应用无法使用并崩溃。无论是重新启动还是更新都不能解决问题,如果登录到同一iCloud帐户,恢复的设备将再次使家庭应用不可用。
对于在控制中心启用了家庭设备的iPhone和iPad,iOS本身会变得没有响应。输入变得延迟或被忽略,设备没有响应,并且偶尔会重新启动。