Un ricercatore di sicurezza ha divulgato una vulnerabilità di iOS che utilizza HomeKit come vettore di attacco e coinvolge i nomi di dispositivi molto lunghi.
La falla di sicurezza è stata rivelata ad Apple nell’agosto del 2021, per poi essere resa pubblica il 1° gennaio, riguarda la piattaforma HomeKit e coinvolge i dispositivi iOS e iPadOS.
Secondo il ricercatore di sicurezza Trevor Spiniolas, se un nome di un dispositivo HomeKit viene modificato in una stringa molto lunga, impostata su 500.000 caratteri nei dispositivi di test, i device iOS e iPadOS che caricano la stringa possono essere riavviati e resi inutilizzabili. Inoltre, dal momento che il nome è memorizzato in iCloud viene aggiornato su tutti gli altri dispositivi iOS nello stesso account, il bug può riapparire ripetutamente.
Spiniolas ha definito il bug “Doollock” e afferma che influenza tutti i dispositivi iOS 14 testati dal ricercatore. Per quanto riguarda iOS 15, l’ultima versione del sistema operativo impone un limite sulla lunghezza di un nome che un’app o un utente può impostare, ma tale nome può ancora essere aggiornato dalle precedenti versioni di iOS e coinvolgere tramite iCloud tutti i dispositivi aggiornati. Se il bug viene attivato su una versione iOS senza il limite e condivide i dati HomeKit, tutti i dispositivi saranno infatti interessati dal bug.
Il bug provoca il blocco di alcune funzioni legate ad HomeKit, e in alcuni casi (quando c’è almeno un dispositivo HomeKit registrato nel Centro di Controllo) rende inutilizzabili anche i dispositivi iOS e iPadOS coinvolti. Un riavvio non risolve il problema, visto che l’unica soluzione è ripristinare iPhone o iPad. Tuttavia, il ripristino e la successiva registrazione dello stesso account iCloud attiverà nuovamente il bug con gli stessi effetti appena elencati.
Il ricercatore afferma che questo bug può essere sfruttato anche tramite un’app con accesso ai dati domestici. Inoltre, è possibile per un hacker inviare inviti nella casa di un altro utente, anche se il bersaglio non dispone di dispositivi HomeKit.
Trevor Spiniolas afferma che lo scenario peggiore, quello del blocco di iPhone e iPad, può essere evitato disattivando i dispositivi domestici dal centro di controllo. Per farlo, bisogna andare in Impostazioni > Centro di Controllo e disattivare la voce “Mostra i controllo di casa“, anche se è sufficiente stare attenti agli inviti ricevuti e legati all’ingresso a reti domestiche di altri utenti, in particolare per quelli che provengono da contatti sconosciuti.
Il ricercatore afferma di aver riportato il bug ad Apple lo scorso 10 agosto, con l’azienda che aveva promesso un update entro la fine del 2021. Tuttavia, al momento non è stato ancora rilasciato un fix e un aggiornamento correttivo è previsto solo “nel corso del 2022“.