Door een bug in Apple HomeKit kunnen apparaten die op iOS draaien onbruikbaar gemaakt worden. Dat heeft cybersecurity-onderzoeker Trevor Spiniolas ontdekt. De bug, die door Spiniolas 'Doorlock' is genoemd, komt sowieso voor op iOS 15.2 tot iOS 14.7 en waarschijnlijk op alle iOS-versies tot en met 14.0. De onderzoeker heeft tests uitgevoerd op een iPhone 7 (iOS 15.2-14.7), een iPad 6 (iOS 15.0 bèta en iOS 14.7), en een iPhone XS (iOS 14.7.1 en 14.7).
De bug doet zich voor wanneer de naam van een HomeKit-apparaat wordt gewijzigd in een groot aantal tekens. Spiniolas gebruikte tijdens het testen 500.000 tekens. Elk apparaat waarop een getroffen iOS-versie is geïnstalleerd die de tekenreeks laadt, wordt onderbroken, zelfs na opnieuw opstarten. Als het apparaat terug wordt gezet naar de fabrieksinstellingen en de gebruiker weer inlogt op het iCloud-account dat aan het HomeKit-apparaat is gekoppeld, wordt de bug opnieuw geactiveerd.
'Ransomware door bug rendabel op iOS'
Hierdoor kan volgens Spiniolas ransomware rendabel worden op iOS. Apps die toegang hebben tot de Home-gegevens van gebruikers met HomeKit-apparaten kunnen afhankelijk van de iOS-versie, de toegang tot hun lokale gegevens blokkeren en voorkomen dat ze opnieuw inloggen op hun iCloud op iOS.
Applicaties met toegang tot de Home-gegevens van eigenaren van HomeKit-apparaten kunnen, afhankelijk van de iOS-versie, de toegang tot hun lokale gegevens blokkeren en voorkomen dat ze opnieuw inloggen op hun iCloud op iOS. Een aanvaller kan ook uitnodigingen naar een Home-omgeving met schadelijke gegevens sturen naar gebruikers op een van de beschreven iOS-versies, ook als zij zelf geen HomeKit-apparaten hebben.
Spiniolas vertelt dat hij de bug oorspronkelijk heeft gemeld op 10 augustus. Apple verzekerde hem toen dat ze van plan waren de bug in een beveiligingsupdate vóór 2022 op te lossen. Op 8 december werd die datum echter bijgesteld naar 'begin 2022', waarop Spiniolas liet weten van plan te zijn de informatie op 1 januari 2022 openbaar te maken.
