Portada » Home » Apple lanza actualizaciones de iPhone y iPad para parchear la vulnerabilidad DoS de HomeKit

Apple lanza actualizaciones de iPhone y iPad para parchear la vulnerabilidad DoS de HomeKit

Apple publicó esta semana actualizaciones de software para iOS y iPadOS para remediar un problema persistente de denegación de servicio (DoS) que afecta HomeKit, la API de software para conectar dispositivos domésticos inteligentes a aplicaciones iOS.

Esto podría explotarse potencialmente para lanzar ataques de tipo ransomware dirigidos a los dispositivos.

Apple, en sus notas de lanzamiento para iOS y iPadOS 15.2.1, lo calificó como un «problema de agotamiento de recursos» que podría desencadenarse al procesar un nombre de accesorio de HomeKit creado con fines malintencionados, y agregó que solucionó el error con una validación mejorada.

La llamada vulnerabilidad «doorLock», rastreada como CVE-2022-22588, afecta a HomeKit, la API de software para conectar dispositivos domésticos inteligentes a aplicaciones iOS.

Si se explota con éxito, los iPhones y iPads pueden caer en una espiral de choque simplemente cambiando el nombre de un dispositivo HomeKit a una cadena de más de 500.000 caracteres y engañando al objetivo para que acepte una invitación de Home maliciosa.

Peor aún, dado que los nombres de los dispositivos de HomeKit están respaldados en iCloud, volver a iniciar sesión en la cuenta de iCloud afectada vinculada al dispositivo ‌HomeKit‌ puede volver a desencadenar la condición DoS y hacer que los dispositivos entren en un ciclo interminable de bloqueo y reinicio que solo puede finalizar restaurándolos a su configuración de fábrica.

Aunque la empresa intentó mitigar el problema introduciendo un límite en la longitud del nombre que puede establecer una aplicación o el usuario, se descubrió que no hizo nada para evitar que un atacante ejecutara una versión anterior que permite nombres de dispositivos excesivamente largos y luego hacer que la víctima acepte una invitación deshonesta a través de un correo electrónico de phishing.

La solución se produce semanas después de que el investigador de seguridad Trevor Spiniolas, quien descubrió la vulnerabilidad, llamó a la empresa por no «tomar el asunto en serio» a pesar de haberlo informado en agosto de 2021 y dejar a sus clientes expuestos a un problema bastante grave.