Se puede abusar del HomeKit de Apple para reiniciar iPhones sin cesar

HomeKit de Apple permite a los usuarios controlar y automatizar sus dispositivos domésticos inteligentes compatibles, y con la sincronización de iCloud, los cambios realizados en un dispositivo Apple se reflejan automáticamente en otros. Sin embargo, una vulnerabilidad HomeKit descubierta recientemente puede hacer que los iPhones se reinicien indefinidamente. Este problema afecta a una amplia gama de versiones de iOS, incluida la última versión estable: iOS 15.2. Si está utilizando una versión anterior de iOS, las aplicaciones maliciosas de terceros también pueden desencadenar este error. Y dependiendo de las preferencias de su iPhone, será bloqueado en el bienvenida aplicación o su iPhone se bloqueará por completo y se reiniciará sin cesar.

Esta vulnerabilidad, que fue descubierto por investigador Trevor Spiniolas (pasando por El borde): se puede activar creando un dispositivo HomeKit con un nombre muy largo. Si un usuario desprevenido acepta un enlace de invitación a un dispositivo HomeKit con un nombre de más de 500.000 caracteres, iOS se bloqueará y se reiniciará indefinidamente. Además, las aplicaciones de terceros pueden cambiar los nombres de los dispositivos HomeKit antesiOS 15. Por lo tanto, un desarrollador podría aprovechar la vulnerabilidad de forma remota, sin la intervención del usuario, en versiones anteriores de iOS.

Hay algunos pasos que puede seguir para evitar que esta vulnerabilidad sea aprovechada en su iPhone. Para comenzar, puede desactivar la sincronización de iCloud para la aplicación Inicio. De esta manera, los datos de HomeKit se mantienen locales y el restablecimiento de fábrica de su iPhone no cargará el nombre largo comprometido de iCloud. Otra medida de precaución que puede tomar es eliminar Cheques a domicilio desde Centro de control. Esto hace que el error se bloquee solo en la aplicación Home en lugar de en todo el sistema operativo si se ejecuta en su dispositivo.

Sin embargo, debe tenerse en cuenta que la mejor manera de protegerse es ignorar los enlaces de invitación enviados por personas que no conoce o en las que no confía. Además, si todavía está usando iOS 14, la actualización a la última versión de iOS 15 evitará que las aplicaciones cambien el nombre de un dispositivo HomeKit a un nombre largo, aunque el error subyacente aún existe. Apple informó inicialmente a Trevor que arreglaría este error antes de 2022. La fecha estimada se cambió más tarde a principios de 2022. No está claro cuándo la compañía lo arreglará, pero al menos la compañía está al tanto de su existencia.

¿Se ha aprovechado esta vulnerabilidad en sus dispositivos? Háganos saber en la sección de comentarios.