homekitangreplangenavn
Veldig lange navn på HomeKit-enheter krasjer iOS- og iPadOS-enheter og gjør det kanskje mulig for hackere å mate enheter med skadelig kode.

Annonse


Lange navn er et sikkerhetsproblem for Apple-brukere

Trond Bie·

En feil i iOS 14 og eldre versjoner medfører at HomeKit krasjer, og mer.

Lange enhetsnavn er nok til å skape store problemer

Det eneste som skal til er å bruke et veldig langt navn på en HomeKit-enhet, og med veldig langt mener vi 500 000 eller flere i både iOS og iPadOS.

Om en enhet har et så langt navn med iOS 14 eller eldre kan en omstart medføre at enheten ikke fungerer lenger. At HomeKit-enheter med for lange navn oppdateres via iCloud og sendes automatisk til iPhones og iPads, hjelper heller ikke.

Feilen er døpt “doorLock”

Sikkerhetsforsker Trevor Spiniolas (som har døpt feilen “doorLock”, passende nok) advarer også mot at feilen trolig kan utnyttes av hackere til å mate enheter på nettverket med trojanere og annen styggedom.

Annonse


Et annet problem er at enheten som er koblet til HomeKit-hjemmet vil oppleve at Home-appen ikke fungerer i det hele tatt. Enda verre er det om brukeren har HomeKit aktivert i hurtig kontroll-panelet: da vil iOS slutte å fungere, eller være veldig treg med å akseptere input fra bruker.

Heller ikke USB-tilkobling vil få kontakt om en enhet er utsatt, noe som betyr at en utsatt bruker ikke vil kunne hente ut lokal-data som ikke er backet opp.

Apple kjenner til feilen, men har ikke tettet den enda

Fra og med iOS 15 (eller 15.1) har Apple introdusert en begrensing på hvor lange navnene kan være på HomeKit-aktiverte produkter. Som Spiniolas avslører, om man aksepterer en invitasjon til et HomeKit-hjem med en eldre versjon, oppstår feilen også med iOS 15.2.

Hackere vil kunne utnytte feilen ved å sende invitasjoner til et hjem (fungerer også om mottager ikke har en HomeKit-enhet), eller en f.eks. at en app med tilgang til HomeKit-data endrer til lange navn.

Om man er rammet må man ta en komplett gjenoppretting av enheten og med en gang deaktivere Home-synkronisering mot iCloud.

Feilen ble oppdaget i august 2021 og Apple ble varslet, men de har enda ikke rettet feilen. Apple skal ha uttalt at en feilretting kommer tidlig i år, men etter at de ikke rullet ut en feilretting på tampen av 2021, advarte Spiniolas at han ville avsløre hullet, noe han altså har gjort.

Annonse