این باگ HomeKit می تواند بارها و بارها آیفون شما را خراب کند


یک محقق امنیتی آسیب‌پذیری را در پلتفرم HomeKit اپل کشف کرده است که می‌تواند آیفون شما (یا هر شخص دیگری را که به تنظیمات Apple Home شما دسترسی دارد) غیرقابل اجرا کند. این اشکال توسط ترور اسپینیولاس، محقق امنیتیکه در یک پست وبلاگ توضیح داد که تغییر نام یک دستگاه HomeKit به چیزی حدود 500000 کاراکتر دلیل این مشکلات است…

در پست وبلاگ، اسپینیولاس می گوید که این باگ در ابتدا در 10 آگوست به اپل گزارش شد و در iOS 15.2 باقی می ماند. طبق گزارش ها، این شرکت قول داده بود تا قبل از سال 2022 این مشکل را در یک به روز رسانی امنیتی برطرف کند، اما به این وعده عمل نکرد. اپل اکنون می‌گوید که در «اوایل سال 2022» مجدداً این مشکل را بررسی خواهد کرد، اما اسپینیولاس در حال انجام امور برای انتشار عمومی اطلاعات در این مدت است.

با توجه به پست وبلاگ اسپینیولاس، خلاصه این اشکال در اینجا آمده است:

هنگامی که نام یک دستگاه HomeKit به یک رشته بزرگ تغییر می‌کند (500000 کاراکتر در آزمایش)، هر دستگاهی که دارای نسخه iOS آسیب‌دیده نصب شده باشد که رشته را بارگیری می‌کند، حتی پس از راه‌اندازی مجدد خراب می‌شود. بازیابی یک دستگاه و ورود مجدد به حساب iCloud مرتبط با دستگاه HomeKit باعث ایجاد مجدد باگ می شود.

این محقق امنیتی خاطرنشان می کند که در iOS 15.1، اپل محدودیتی را به طول نامی که یک برنامه یا کاربر می تواند برای لوازم جانبی خانه تعیین کند اضافه کرده است.

با استفاده از HomeKit API اپل، هر برنامه iOS با دسترسی به داده های Home می تواند نام دستگاه های HomeKit را تغییر دهد. در iOS 15.1 (یا احتمالاً 15.0)، محدودیتی در طول نامی که یک برنامه یا کاربر می تواند تعیین کند، معرفی شد. در نسخه‌های iOS زودتر از این، یک برنامه می‌تواند باگ را ایجاد کند زیرا این محدودیت وجود ندارد. اگر این اشکال در نسخه iOS بدون محدودیت فعال شود و دستگاه داده های HomeKit را با دستگاهی در نسخه iOS دارای محدودیت به اشتراک بگذارد، هر دو همچنان تحت تأثیر قرار خواهند گرفت.

قابل ذکر است که این باگ بر روی کاربران تأثیر می گذارد حتی اگر دستگاه خانگی اضافه نشده باشد. اگر کسی “دعوت به خانه ای حاوی یک دستگاه HomeKit با یک رشته بزرگ به عنوان نام آن” را بپذیرد، این اتفاق می افتد. این حتی در آخرین نسخه iOS 15.2 نیز صادق است.

اسپینیولاس ادامه می‌دهد: «اگر مهاجمی از این آسیب‌پذیری سوء استفاده کند، احتمالاً به‌هرحال از دعوت‌نامه‌های Home به جای یک برنامه استفاده می‌کند، زیرا دعوت‌نامه‌ها نیازی به داشتن یک دستگاه HomeKit از کاربر ندارند.»

نتیجه

بنابراین اگر تحت تأثیر این موضوع قرار بگیرید، نتیجه چیست؟ اساساً به این بستگی دارد که آیا شما دستگاه های خانگی را در مرکز کنترل فعال کرده اید یا خیر. همانطور که Spiniolas اشاره می کند، دستگاه های خانگی فعال در مرکز کنترل، رفتار پیش فرض زمانی است که کاربر به دستگاه های خانگی دسترسی دارد.

اگر دستگاه ها این کار را نکنند در اینجا چه اتفاقی می افتد انجام ندهید دستگاه‌های خانگی را در مرکز کنترل فعال کنید:

برنامه Home به طور کامل غیر قابل استفاده می شود و در هنگام راه اندازی از کار می افتد. راه اندازی مجدد یا به روز رسانی دستگاه مشکل را حل نمی کند. اگر دستگاه بازیابی شود اما دوباره به iCloud استفاده شده قبلی متصل شود، برنامه Home دوباره غیر قابل استفاده خواهد شد.

چه می شود اگر دستگاه های شما است دستگاه‌های خانگی را در مرکز کنترل فعال کنید:

iOS پاسخگو نخواهد بود. همه ورودی‌های دستگاه نادیده گرفته می‌شوند یا به‌طور قابل‌توجهی با تأخیر مواجه می‌شوند، و نمی‌تواند به طور قابل توجهی از طریق USB ارتباط برقرار کند. پس از حدود یک دقیقه، backboardd توسط ناظر متوقف می شود و دوباره بارگیری می شود، اما دستگاه پاسخ نمی دهد. این چرخه به طور نامحدود با یک راه اندازی مجدد گاه به گاه تکرار می شود. با این حال، راه اندازی مجدد مشکل را حل نمی کند و همچنین به روز رسانی دستگاه نیز مشکلی را حل نمی کند. از آنجایی که ارتباط USB اکنون فقط در حالت بازیابی یا DFU کار می کند، در این مرحله کاربر عملاً تمام داده های محلی را از دست داده است زیرا دستگاه او غیرقابل استفاده است و نمی توان از آن نسخه پشتیبان تهیه کرد. نکته مهم، این است که اگر کاربر دستگاه خود را بازیابی کند و به داده های iCloud قبلاً استفاده شده وارد شود، باگ دوباره با همان اثرات قبلی ایجاد می شود.

در اینجا یک ویدیو از این مشکل در عمل آمده است:

گرفتن 9to5Mac

این اشکال HomeKit به همه دلایلی که Spiniolas در پست وبلاگ خود بیان کرد مهم است. با این حال، شاید حتی نگران‌کننده‌تر این باشد که اپل از ماه آگوست از این مشکل مطلع بوده و هنوز یک اصلاح کامل را ارائه نکرده است. سیستم گزارش ایرادات اپل در طول سال‌ها مورد انتقاد قرار گرفته است و واضح است که همه ابهامات برطرف نشده است.

می توانید پست کامل وبلاگ را با جزئیات بیشتر در مورد آن بخوانید آسیب پذیری در اینجا. بار دیگر، اپل به اسپینیولاس قول داده است که این مشکل را در اوایل سال 2022 برطرف خواهد کرد، اما جزئیات بیشتری در دسترس نیست.

FTC: ما از لینک های وابسته خودکار درآمدزا استفاده می کنیم. بعد از.


برای اخبار بیشتر اپل، 9to5Mac را در YouTube بررسی کنید:



Source link

بخش هوم کیت 9to5mac فارسی