Nachrichten

  • Techbord - 5 Monate später muss Apple noch den iOS-Fehler beheben, der Geräte in eine Crash-Spirale schickt

    5 Monate später muss Apple noch den iOS-Fehler beheben, der Geräte in eine Crash-Spirale schickt
    Vor 20 Tagen und 3 Stunden

    Eine Denial-of-Service-Schwachstelle kann durch das Versenden einer bösartigen HomeKit-Einladung ausgelöst werden.
    Apple hat sich Zeit genommen, um einen iOS-Fehler zu beheben, der es Schurken leicht macht, ein iOS-Gerät vollständig zu deaktivieren, es sei denn, das Opfer führt eine Werkswiederherstellung durch und folgt. andere umständliche Schritte, sagte ein Forscher.

    HomeKit ist ein von Apple entwickeltes Kommunikationsprotokoll, mit dem Benutzer ihre iPhones oder iPads verwenden können, um Lichter, Fernseher, Wecker und andere Haushalts- oder Bürogeräte zu steuern. Benutzer können ihre Geräte so konfigurieren, dass Geräte im selben Netzwerk automatisch erkannt werden, und sie können diese Einstellungen auch mit anderen Personen teilen, damit sie ihre eigenen iPhones oder iPads zur Steuerung der Geräte verwenden können. Die Sharing-Funktion macht es einfach, neuen Leuten zu erlauben, beispielsweise einem Haus- oder Babysitter, die Geräte eines Benutzers zu steuern.

    Trevor Spiniolas, ein selbsternannter Programmierer und „angehender Sicherheitsforscher“, sagte kürzlich, dass a Ein Fehler in der Funktion ermöglicht es jemandem, ein iOS-Gerät in eine endlose Absturzspirale zu schicken. Es kann ausgelöst werden, indem ein extrem langer Name – bis zu 500.000 Zeichen lang – verwendet wird, um eines der intelligenten Geräte zu identifizieren, und dann einen Benutzer dazu bringt, eine Einladung zu diesem Netzwerk anzunehmen.

    Wie in den folgenden Demonstrationsvideos anzeigen, reagiert das Gerät langsam nicht mehr, bis es schließlich vollständig blockiert. Ein Neustart des Geräts hilft nicht. Wenn der Anmeldebildschirm angezeigt wird, ist es unmöglich, eine Passphrase einzugeben. Es bleibt nur noch eine Werkswiederherstellung durchzuführen. Und selbst dann reagiert das Gerät nach der Wiederherstellung wieder nicht mehr, sobald es sich während der Einrichtung wieder beim iCloud-Konto des Benutzers anmeldet.

    (Über die Einladung zu Hause)

    Spiniolas sagte, er habe Apple im August über den Fehler informiert und eine Antwort erhalten, in der er sagte, dass er bis Ende des Jahres behoben werden würde. Später sagte der Forscher, Apple sagte, dass die Fehlerbehebung Anfang 2022 erfolgen würde. Zu diesem Zeitpunkt teilte er dem Unternehmen mit, dass er beabsichtigte, den Fehler öffentlich zu veröffentlichen.

    „Ich glaube, dass dieser Fehler unangemessen behandelt wird, da er sich als ernsthaftes Risiko für die Benutzer und viele Monate sind vergangen, ohne dass eine umfassende Lösung gefunden wurde“, schrieb er. „Die Öffentlichkeit sollte sich dieser Schwachstelle bewusst sein und wissen, wie sie deren Ausnutzung verhindern kann, anstatt im Dunkeln zu tappen.“

    Der Forscher sagte, Apple habe kürzlich iOS aktualisiert, um das Problem zu mildern. Der Patch begrenzt die Zeichenanzahl in Gerätenamen. Das hindert einen Angreifer jedoch nicht daran, eine frühere Version auszuführen, die übermäßig lange Gerätenamen zulässt, und dann jemanden dazu zu bringen, eine Einladung anzunehmen. Selbst wenn auf dem Receiver die neueste iOS-Version ausgeführt wird, wird das Gerät vollständig gesperrt.

    Weitere Informationen

    Zero-Click-iMessage-Zero-Day zum Hacken der iPhones von 36 JournalistenDieser Denial-of-Service-Bug ist relativ harmlos im Vergleich zu den Zero-Click-Schwachstellen, die es Angreifern häufig ermöglichen, bösartigen Code auf iPhones auszuführen. Aber wenn Apple die Benutzer ermutigen möchte, ihren iOS-Geräten zu vertrauen, sollte es diesen Fehler wirklich beheben. Apple-Vertreter antworteten nicht auf eine E-Mail mit der Bitte um einen Kommentar zu diesem Artikel.





Neueste Nachrichten aus dem Informationstechnologie