Un error encontrado en HomeKit de Apple podría paralizar su iPhone, junto con el de cualquier otra persona con acceso a su configuración de Apple Home. El investigador de seguridad Trevor Spiniolas informó sobre la vulnerabilidad a Apple hace meses, pero el problema persiste en iOS 15.2.
Un nombre de dispositivo HomeKit que es demasiado largo
Spiniolas descubrió que al cambiar el nombre de un dispositivo HomeKit a una cadena muy grande, se rompe el iPhone. En las pruebas, el investigador utilizó una cadena de 500.000 caracteres de longitud. Por supuesto. es muy posible que un nombre de dispositivo más corto también pueda desencadenar el error.
En iOS 15.1, Apple agregó un límite al nombre que una aplicación o usuario puede establecer para un accesorio para el hogar. Sin embargo, cualquier dispositivo que ejecute versiones anteriores de iOS aún podría desencadenar el error de HomeKit. La reciente publicación de blog de Spiniolas describe el riesgo.
Con la API HomeKit de Apple, cualquier aplicación de iOS con acceso a los datos de Home puede cambiar los nombres de los dispositivos HomeKit. En iOS 15.1 (o posiblemente 15.0) se introdujo un límite en la longitud del nombre que una aplicación o el usuario pueden establecer. En versiones de iOS anteriores a estas, una aplicación puede desencadenar el error ya que este límite no está presente. Si el error se activa en una versión de iOS sin límite y el dispositivo comparte datos de HomeKit con un dispositivo en una versión de iOS con límite, ambos se verán afectados.
Reiniciar el iPhone no soluciona el problema. Restaurar el dispositivo tampoco lo hace si vuelve a iniciar sesión en la cuenta de iCloud vinculada al dispositivo HomeKit.
Apple sabe, pero aún no ha solucionado, el error de HomeKit
Spiniolas informó este error el 10 de agosto de 2021 y Apple informó al investigador que repararía la vulnerabilidad antes de 2022. El 8 de diciembre, Apple revisó su estimación para una solución a “principios de 2022”. En ese momento, Spiniolas informó a la empresa con sede en Cupertino que divulgaría la información públicamente el 1 de enero de 2022.
Creo que este error se está manejando de manera inapropiada, ya que representa un riesgo grave para los usuarios y han pasado muchos meses sin una solución completa. El público debe ser consciente de esta vulnerabilidad y cómo evitar que se explote, en lugar de mantenerse en la oscuridad.
El error parece afectar a los dispositivos iOS, ya sea que tengan dispositivos domésticos habilitados en el Centro de control o no. Recuperarse de un incidente de este tipo requiere restaurar el dispositivo iOS desde el modo Recuperación o DFU y esperar para iniciar sesión en iCloud hasta después de finalizar la configuración. Luego, los usuarios afectados deben iniciar sesión en iCloud pero deshabilitar inmediatamente el Casa interruptor en el Centro de control.
Claramente, este error de HomeKit es un problema que Cupertino realmente debería resolver rápidamente. Como señala Spiniolas, representa un vector de ataque de ransomware muy viable para el iPhone. La vacilación de Apple en parchear este exploit es preocupante, por decir lo menos.
