باگ امنیتی HomeKit اپل می‌تواند گجت‌های iOS را به کام مرگ بکشد

گروه IT: «شما همیشه باید مراقب دعوت افراد غریبه به خانه‌شان باشید.» این جمله نتیجه‌ی یک تحقیق امنیتی جدید است که از حفره‌ی امنیتی خبر می‌دهد که در صورت متصل شدن به اپلیکیشن Home اپل دیوایس مخرب می‌تواند گوشی‌های iOS شما را متوقف، خراب یا مجدد راه‌اندازی کند. این آسیب‌پذیری که توسط محقق امنیتی «ترور اسپینیولاس» کشف شده است، می‌تواند از طریق HomeKit API اپل، رابط نرم‌افزاری که به یک اپلیکیشن iOS اجازه می‌دهد دستگاه‌های خانگی هوشمند سازگار را کنترل کند، مورد سوء استفاده قرار گیرد.

به گزارش بولتن نیوز به نقل از دیجیکالا مگ، اگر یک مهاجم سایبری دیوایس مجهز به اپ HomeKit را با نام بسیار طولانی – حدود ۵۰۰۰۰۰ کاراکتر – بسازد و کاربر iOS به آن متصل شوند، گوشی آن کاربر بعد از اتصال به این دیوایس مخرب دیگر پاسخگو نخواهد بود و وارد چرخه‌ی توقف و ریبوت شدن می‌شود که تنها با ریست کردن و بازیابی گوشی iOS می‌توان مشکل آن را برطرف کرد.

علاوه بر این، از آنجایی که نام دیوایس‌های مجهز به اپ HomeKit در iCloud پشتیبان‌گیری می‌شوند، ورود به همان حساب iCloud با یک دیوایس بازیابی شده دوباره باعث خرابی می‌شود و این چرخه ادامه می‌یابد تا زمانی که کاربر دستگاه گزینه‌ی همگام‌سازی دستگاه‌های خانگی را از iCloud غیرفعال کند.

اگرچه ممکن است یک مهاجم سایبری بتواند دیوایس کاربر دارای اپ HomeKit را به خطر بیندازد، اما محتمل ترین راه ایجاد سوء استفاده این است که مهاجم یک شبکه‌ی Home جعلی ایجاد کرده و کاربر را فریب دهد تا از طریق ایمیل فیشینگ به آن شبکه‌ی مخرب بپیوندد. برای محافظت در برابر این نوع از حملات سایبری، احتیاط اصلی برای کاربران iOS این است که فوراً هر دعوتی برای پیوستن به یک شبکه‌ی خانگی ناآشنا را رد کنند.

علاوه بر این، کاربران iOS که در حال حاضر از دستگاه‌های خانه هوشمند استفاده می‌کنند، می‌توانند با ورود به مرکز کنترل و غیرفعال کردن تنظیمات «نمایش کنترل‌های خانه» از خود در برابر این نوع تهدیدات محافظت کنند. (این امر مانع استفاده از دیوایس‌های خانگی نمی‌شود، اما دسترسی به اطلاعات از طریق مرکز کنترل را محدود می‌کند.)

اسپینیولاس جزئیات این آسیب‌پذیری را در وب‌سایت شخصی خود در تاریخ ۱ ژانویه ۲۰۲۲ (۱۰ دی ماه) منتشر کرد. او  قبلاً به دلیل کشف یک آسیب‌پذیری در macOS Mojave که در سال ۲۰۱۹ اصلاح شده بود، مورد اعتماد شرکت اپل قرار گرفته است. اسپینیولاس گفت که این آسیب‌پذیری جدید بر آخرین نسخه‌ی iOS 15.2، تأثیر می‌گذارد و آن را حداقل به نسخه‌ی ۱۴.۷ برمی‌گرداند. این محقق امنیتی همچنین اپل را متهم کرد که در پاسخ به افشای اولیه که ماه‌ها قبل از انتشار عمومی منتشر شده بود، عملکرد بسیار کند و ضعیفی داشته است.

این محقق ایمیل‌هایی را با وب‌سایت The Verge به اشتراک گذاشت که ظاهراً نشان می‌داد یکی از نمایندگان اپل این مشکل را تأیید کرده و از اسپینیولاس خواسته است تا اوایل سال ۲۰۲۲ از انتشار جزئیات این مشکل خودداری کند. پست وبلاگی که جزئیات این آسیب‌پذیری را توضیح می‌دهد ادعا می‌کند که اپل در تاریخ ۱۰ آگوست ۲۰۲۱ ( ۱۹ مرداد ماه) از این مشکل مطلع شده و هنوز اقدام خاصی برای رفع این آسیب‌پذیری انجام نداده است.

اسپینیولاس نوشت: «فقدان شفافیت اپل نه تنها برای محققان امنیتی که اغلب به صورت رایگان کار می‌کنند ناامیدکننده است، بلکه برای میلیون‌ها کاربری که از محصولات اپل در زندگی روزمره خود استفاده می‌کنند، با کاهش مسئولیت‌پذیری اپل در مسائل امنیتی، خطرهای زیادی را ایجاد می‌کند.» باید خاطر نشان کنیم که اپل تا زمان انتشار این خبر به درخواست برای اظهار نظر در مورد این موضوع پاسخ نداده بود. باید دید در روز‌های آینده این غول فناوری آمریکایی که همواره به مقوله‌ی امنیت اهمیت زیادی داده است، در رابطه با این حفره‌ی امنیتی چه اقداماتی را مد نظر خود قرار می‌دهد.