Egy biztonsági kutató azt állítja, az Apple hónapok óta figyelmen kívül hagy egy súlyos biztonsági hibát, ami akár azt is eredményezheti, hogy a támadó kizárja az áldozatot a saját iCloud fiókjából.
A doorLocknak elnevezett sérülékenység az Apple okosotthon vezérlő HomeKit keretrendszerét érinti, amely a különböző otthoni okoseszközök irányítását teszi lehetővé iPhone-ról, iPadről vagy MacBookról. A Trevor Spiniolas által felfedezett hiba abból adódik, hogy amennyiben egy HomeKit hálózatba kapcsolt eszköz neve túl sok ─ a kutató demonstrációjában 500 000 ─ karaktert tartalmaz, az ehhez csatlakozni próbáló iOS-es eszköz ezt nem képes megfelelően kezelni, és folyamatos újraindulások során egy végtelen ciklusba kerül, amiből csak akkor lehet kilépni, ha az eszközt visszaállítják alaphelyzetbe.
Azonban ezt követően előfordulhat, hogy a felhasználó nem tud bejelentkezni az iCloud fiókjába, mivel a HomeKit eszközök alapértelmezetten a felhasználó iCloud mentésébe is szinkronizálnak, így a hiba ismét jelentkezik. A szinkronizáció megszüntetése ez esetben megoldást jelenthet, Spiniolas ugyanakkor arra hívja fel a figyelmet, hogy a technikai kérdésekben kevésbé jártas felhasználók esetében egy ilyen helyzet akár zsarolási alapot is jelenthet a támadónak.
A sebezhetőség kihasználására a leginkább életszerűnek egy olyan támadási forgatókönyv tűnik, hogy a támadó készít egy saját HomeKit hálózatot, majd egy meghívó segítségével megpróbálja rávenni az áldozatot arra, hogy eszközével csatlakozzon ehhez a hálózathoz.
Az Apple a hiba javítását 2022 elejére ígéri.
