Apple lança iOS 15.2.1 para corrigir iPhones e iPads contra a falha do HomeKit – Techdoxx

A Apple corrigiu uma vulnerabilidade de segurança no iOS e iPadOS que poderia ser explorada via HomeKit para lançar ataques persistentes de negação de serviço (DoS).

O gigante da tecnologia lançado iOS 15.2.1 e iPadOS 15.2.1 na quarta-feira para corrigir a chamada falha “doorLock”, que foi divulgada no início deste mês por pesquisador de segurança Trevor Spiniolas. O bug afeta iPhones e iPads que executam iOS 14.7 a iOS 15.2 e é acionado via HomeKit, a plataforma de casa inteligente da Apple que permite que os usuários da Apple configurem, comuniquem e controlem seus dispositivos domésticos inteligentes

Para explorar o bug, um invasor precisaria alterar o nome de um dispositivo HomeKit para uma string com mais de 500.000 caracteres. Quando essa string é carregada no iPhone ou iPad de um usuário, o software do dispositivo entra em um estado de negação de serviço (DoS), exigindo uma reinicialização forçada para descongelar. Mas quando o dispositivo é reiniciado e o usuário entra novamente na conta do iCloud vinculada ao HomeKit, o bug é acionado novamente.

Mesmo que um usuário não tenha nenhum dispositivo adicionado ao HomeKit, um invasor pode criar uma rede doméstica falsa e induzir um usuário a ingressar por meio de um e-mail de phishing. Pior, Spiniolas alertou que os invasores podem aproveitar a vulnerabilidade do doorLock para lançar ataques de ransomware contra usuários do iOS, bloqueando os dispositivos em um estado inutilizável e exigindo um pagamento de resgate para definir o dispositivo HomeKit de volta a um comprimento de string seguro.

Spiniolas disse que a Apple prometeu corrigir o problema em uma atualização de segurança no ano passado, mas isso foi adiado até “início de 2022”, levando Spiniolas a divulgar o bug, temendo que o atraso represente um “risco sério” para os usuários.

“Apesar de eles confirmarem o problema de segurança e eu insistir muitas vezes nos últimos quatro meses para levar o assunto a sério, pouco foi feito”, escreveu ele. “As atualizações de status sobre o assunto eram raras e apresentavam excepcionalmente poucos detalhes, embora eu os pedisse com frequência.”

“A falta de transparência da Apple não é apenas frustrante para os pesquisadores de segurança que geralmente trabalham de graça, mas também representa um risco para milhões de pessoas que usam produtos da Apple em suas vidas diárias, reduzindo a responsabilidade da Apple em questões de segurança.”

A atualização pode ser baixada agora e está disponível para o iPhone 6s e posterior, todos os modelos de iPad Pro, iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração).