باگ امنیتی HomeKit اپل میتواند دیوایسهای iOS را از کار بیندازد
«شما همیشه باید مراقب دعوت افراد غریبه به منزلتان باشید.» این جمله نتیجهی تحقیق امنیتی جدیدی است که از یک حفرهی امنیتی در Homekit اپل خبر میدهد. هکرها از طریق این حفرهی امنیتی میتوانند در صورت متصل شدن به اپلیکیشن Home دیوایس iOS شما را از کار بیندازند. این آسیبپذیری که توسط محقق امنیتی «ترور اسپینیولاس» کشف شده، میتواند از طریق HomeKit API اپل، رابط نرمافزاری که به یک اپلیکیشن iOS اجازه میدهد دستگاههای خانگی هوشمند سازگار را کنترل کند، مورد سوء استفاده قرار گیرد.
اگر یک مهاجم سایبری برای یک دیوایس مجهز به اپ HomeKit نامی بسیار طولانی – حدود ۵۰۰۰۰۰ کاراکتر – بسازد و کاربران iOS به آن متصل شوند، گوشی آنها بعد از اتصال به این دیوایس مخرب دیگر پاسخگو نخواهند بود و وارد چرخهی توقف و ریبوت شدن میشوند که تنها با ریست کردن و بازیابی گوشی iOS میتوان مشکل را برطرف کرد.
علاوه بر این، از آنجایی که نام دیوایسهای مجهز به اپ HomeKit در iCloud پشتیبانگیری میشوند، ورود به همان حساب iCloud با یک دیوایس بازیابی شده دوباره باعث خرابی میشود و این چرخه ادامه مییابد تا زمانی که کاربر گزینهی همگامسازی دستگاههای خانگی را از iCloud غیرفعال کند.
اگرچه ممکن است یک مهاجم سایبری بتواند دیوایس کاربر دارای اپ HomeKit را به خطر بیندازد، اما محتمل ترین راه ایجاد سوء استفاده این است که مهاجم یک شبکهی Home جعلی ایجاد کرده و کاربر را فریب دهد تا از طریق ایمیل فیشینگ به آن شبکهی مخرب بپیوندد. برای محافظت در برابر این نوع از حملات سایبری، احتیاط اصلی برای کاربران iOS این است که فوراً هر دعوتی برای پیوستن به یک شبکهی خانگی ناآشنا را رد کنند.
علاوه بر این، کاربران iOS که در حال حاضر از دستگاههای خانه هوشمند استفاده میکنند، میتوانند با ورود به مرکز کنترل و غیرفعال کردن تنظیمات «نمایش کنترلهای خانه» از خود در برابر این نوع تهدیدات محافظت کنند. (این امر مانع استفاده از دیوایسهای خانگی نمیشود، اما دسترسی به اطلاعات از طریق مرکز کنترل را محدود میکند.)
اسپینیولاس جزئیات این آسیبپذیری را در وبسایت شخصی خود در تاریخ ۱ ژانویه ۲۰۲۲ (۱۰ دی ماه) منتشر کرده است. او قبلاً به دلیل کشف یک آسیبپذیری در macOS Mojave که در سال ۲۰۱۹ اصلاح شده بود، مورد اعتماد شرکت اپل قرار گرفته است. اسپینیولاس گفته که این آسیبپذیری جدید بر آخرین نسخهی iOS 15.2، تأثیر میگذارد و آن را حداقل به نسخهی ۱۴.۷ برمیگرداند. این محقق امنیتی همچنین اپل را متهم کرده که در پاسخ به افشای اولیه که ماهها قبل از انتشار عمومی منتشر شده بود، عملکرد بسیار کند و ضعیفی داشته است.
این محقق ایمیلهایی را با وبسایت The Verge به اشتراک گذاشته که ظاهراً نشان میداد یکی از نمایندگان اپل این مشکل را تأیید کرده و از اسپینیولاس خواسته است تا اوایل سال ۲۰۲۲ از انتشار جزئیات این مشکل خودداری کند. پست وبلاگی که جزئیات این آسیبپذیری را توضیح میدهد ادعا میکند که اپل در تاریخ ۱۰ آگوست ۲۰۲۱ ( ۱۹ مرداد ماه) از این مشکل مطلع شده و هنوز اقدام خاصی برای رفع این آسیبپذیری انجام نداده است.
اسپینیولاس نوشت: «فقدان شفافیت اپل نه تنها برای محققان امنیتی که اغلب به صورت رایگان کار میکنند ناامیدکننده است، بلکه برای میلیونها کاربری که از محصولات اپل در زندگی روزمرهی خود استفاده میکنند، با کاهش مسئولیتپذیری اپل در مسائل امنیتی، خطرهای زیادی را ایجاد میکند.» باید خاطر نشان کنیم که اپل تا زمان انتشار این خبر به درخواست برای اظهار نظر در مورد این موضوع پاسخ نداده بود. باید دید در روزهای آینده این غول فناوری آمریکایی که همواره به مقولهی امنیت اهمیت زیادی داده است، در رابطه با این حفرهی امنیتی چه اقداماتی را مد نظر خود قرار میدهد.
منبع: TheVerge