苹果发布iPhone和iPad更新以修补HomeKit DoS漏洞

苹果周三发布了iOS和iPadOS的软件更新，以纠正影响HomeKit智能家居框架的持续拒绝服务（DoS）问题，该问题可能被利用，以针对这些设备发起勒索软件式攻击

iPhone制造商在iOS和iPadOS 15.2.1的发行说明中称，这是一个“资源耗尽问题”，在处理恶意制作的HomeKit配件名称时可能会触发，并补充道，它通过改进验证解决了该漏洞

所谓的“门锁”漏洞，被追踪为CVE-2022-22588，影响HomeKit，HomeKit是用于将智能家居设备连接到iOS应用程序的软件API

如果它被成功利用，只需将HomeKit设备的名称更改为大于500000个字符的字符串，并诱使目标接受恶意的家庭邀请，iPhone和iPad就会陷入崩溃螺旋

更糟糕的是，由于HomeKit设备名称已备份到iCloud，因此会重新登录到与‌；HomeKit和#8204；设备可能会重新触发DoS状态，并导致设备进入无休止的崩溃和重新启动循环，只有将其恢复到出厂设置才能结束

尽管该公司试图通过限制应用程序或用户可以设置的名称长度来缓解这个问题，结果发现，它没有阻止攻击者运行允许过长设备名的早期版本，然后让受害者通过钓鱼电子邮件接受恶意邀请

在安全漏洞研究员Trevor Spiniolas发现漏洞后，几周后，尽管该公司在2021年8月发布了报告，并让其客户暴露在一个相当严重的问题上，但他还是没能“认真对待这件事”。

“苹果缺乏透明度不仅让经常免费工作的安全研究人员感到沮丧，还降低了苹果在安全问题上的责任，给数百万在日常生活中使用苹果产品的人带来了风险，”斯皮尼奥拉斯说