HomeKit 家庭不仅面临广告骚扰,还能使您的 iOS 设备瘫痪甚至数据丢失! doorLock

2022-01-02 15:36:48 +08:00
 kingxiangqi

https://twitter.com/TrevorSpiniolas/status/1477185285784051712

https://trevorspiniolas.com/doorlock/doorlock.html

https://github.com/trevorspiniolas/homekitdos

Trevor Spiniolas 在四个月前,发现并报告了 iOS 中一个严重的拒绝服务错误,该错误仍然保留在最新版本 iOS 中。它在重新启动后仍然存在,并且可以在某些条件下恢复后触发。

该漏洞被称为 doorLock ,存在于 iOS 15.2 - iOS 14.7 (可能到 14.0 )的持续拒绝服务漏洞,通过 HomeKit 触发。

这会导致两种情况发生,在控制中心没有启用 Home 设备的设备会发现 Home 应用无法使用并崩溃。重启或更新都不能解决这个问题,恢复的设备如果登陆同一个 iCloud 账户,将再次使 Home 无法使用。

对于在控制中心启用了 Home 设备的 iPhone 和 iPad ,也就是用户访问 HomeKit 设备时的默认设置,iOS 本身变得毫无反应。输入变得延迟或被忽略,设备没有反应,偶尔会经历重启。

在这种情况下,重启或更新设备都无法解决,而中断的 USB 访问基本上会迫使用户恢复设备并丢失所有本地数据。然而,恢复和登陆到同一 iCloud 账户将再次触发该错误,其效果与之前相同。

Spiniolas 认为这个问题可能被用于恶意的目的,比如通过一个可以访问家庭数据的应用程序自己引入这个错误。攻击者向其他用户发送对 Home 的邀请也是可行的,即使目标不拥有 HomeKit 设备。

通过在控制中心禁用 Home 设备,可以避免这两种情况中最糟糕的情况。要做到这一点,打开"设置"和"控制中心",然后将"显示家庭控制"的切换设置为关闭。用户还应该对加入其他用户的家庭网络的邀请保持警惕,特别是那些来自未知联系人的邀请。

3381 次点击
所在节点    HomeKit
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/825791

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX