Pur essendo la cosa di difficile attuazione, HomeKit, il framework che consente di configurare e controllare la smart home tramite i dispositivi Apple, potrebbe essere sfruttato da eventuali malintenzionati come vettore di attacco, a causa di un bug, andando a rendere inutilizzabili iPhone e iPad.
HomeKit vettore di attacco: coinvolti device iOS/iPadOS con nomi lunghi
A scoprirlo è stato il ricercatore di sicurezza Trevor Spiniolas ad agosto del 2021, ma la falla è stata resa pubblica il 1° gennaio 2022 e al momento Apple non ha ancora rilasciato ancora alcun correttivo, sebbene fosse stato promesso un update entro la fine dello scorso anno.
Il bug va a coinvolgere i dispositivi con nomi particolarmente lunghi: se un nome di un device HomeKit viene modificato in una stringa impostata su 500.000 caratteri nei test, gli iPhone e iPad che caricano la caricano possono essere riavviati e resi inservibili. Inoltre, dal momento che il nome è memorizzato su iCloud, se viene aggiornato su tutti gli altri dispositivi iOS/iPadOS nello stesso account, il bug può comparire ripetutamente.
Più precisamente, il bug va a provocare il blocco di alcune funzioni legate al framework di Apple e quando c’è almeno un dispositivo HomeKit registrato nel Centro di Controllo rende inutilizzabili anche i dispositivi iOS/iPadOS coinvolti. Un riavvio non consente di risolvere il problema, l’unica soluzione è quella di ripristinare iPhone o iPad, ma il reset e la successiva registrazione dello stesso account iCloud andranno ad attivare nuovamente la falla con tutto quel che ne consegue.
Il bug riguarda tutti i dispositivi aggiornati a iOS/iPadOS 14 che sono stati testati dal ricercatore, mentre su iOS/iPadOS 15 viene imposto un limite sulla lunghezza di un nome che un’app o un utente può usare che però può ancora essere aggiornato dalle precedenti versioni del sistema operativo e coinvolgere mediante iCloud tutti i device aggiornati.
Spiniolas fa altresì notare il bug può essere sfruttato pure mediante un’app con accesso ai dati domestici e che un malintenzionato può inviare inviti nella casa di un altro utente pure se questo non dispone di dispositivi HomeKit.