یکی از محققین فعال در زمینه امنیت یک باگ در iOS 15.2 را گزارش کرده است که میتواند آیفون را حتی پس از آن که به تنظیمات کارخانه بردید، کاملا بیاستفاده کند. ظاهرا اپل از وجود این باگ آگاهی کامل را دارد و قول داده که آن را در اوایل سال 2022 رفع خواهد کرد.
Trevor Spiniolas یک اشکال بزرگ در iOS 15.2 کشف کرده است که سواستفاده کنندگان میتوانند از طریق API برنامه HomeKit به آن دسترسی پیدا کنند. مهاجمی که قرار است از این باگ استفاده کند، میتواند از طریق API نام دستگاههای ثبت شده در HomeKit کاربر را تغییر و به جای آن نامی طولانی را قرار دهد. این نام بهصورتی خودکار در حساب کاربری آیکلاد کاربر ذخیره خواهد شد. با انجام این کار، اگر کاربر دستگاههای موجود در برنامه Home را در کنترل سنتر خود قرار داده باشد، آیفون او دیگر پاسخگو نخواهد بود.
Spiniolas میگوید که راهاندازی مجدد دستگاه یا حتی بردن دستگاه به تنظیمات کارخانه تا زمانی که آن کاربر به همان حساب کاربری آیکلاد وصل باشد، هیچ کمکی به او نخواهد کرد. در مورد این موضوع شاید راهحلهای مختلفی به ذهن کاربران برسد، اما تنها روشی که جواب میدهد تغییر نام دستگاههای ثبت شده در HomeKit با استفاده از همان API است.
طبق گفتههای Spiniolas، او در ماه آگوست این باگ را گزارش کرده و اپل هم در حال حاضر از این موضوع آگاه است. او همچنین گفت که به اپل اطلاع داده که این اطلاعات را در ماه ژانویه سال 2022 منتشر خواهد کرد. در کنار این اطلاعرسانی، او گفته که از شرکت اپل در مورد به خطر انداختن امنیت میلیونها کاربر خود انتقادهایی را داشته است. البته او به این موضوع هم اشاره کرده بود که این رفع باگ قرار بود که در ماه دسامبر منتشر شود، اما اپل انتشار آن را تا اوایل سال 2022 به تعویق انداخت.
اگرچه که ممکن است گرفتار شدن در این باگ بهصورت ناخواسته توسط کاربران بسیار کم باشد، اما Spiniolas میگوید که احتمال استفاده از این موضوع بهعنوان باجافزار وجود دارد. علاوهبر تغییر نام دستگاههایی که در HomeKit کاربران ثبت شده است، او وضعیتی از یک مهاجم را به تصویر کشیده که در آن او میتواند یک دعوتنامه حاوی اطلاعات خطرناک را به برنامه Home کاربر ارسال کند، حتی اگر او هیچ دستگاه مبتنیبر HomeKit نداشته باشد.
او ادعا میکند که یک مهاجم میتواند ایمیلی را با آدرسی شبیه به خدمات اپل ارسال کند تا کاربرانی که در مورد تکنولوژی اطلاعات کمی دارند یا حتی کسانی که کنجکاو هستند را فریب دهد تا دعوت را بپذیرند و سپس در ازای رفع این مشکل گفته شده از طریق ایمیل، درخواست مقداری پول کند.
Spiniolas در مورد رفع این مشکل میگوید که باید کاربران بعد از بردن گوشی خود به تنظیمات کارخانه، دومرتبه وارد همان حساب کاربری نشوند و پس از راهاندازی کامل، برنامه Home را فعال نکنند. در کنار تمامی این موارد، کاربران باید میانبرهای مربوط به برنامه Home را از کنترل سنتر خود حذف نمایند.