Noticias Tecnológicas

5 meses después, Apple todavía tiene que corregir el error de iOS que hace que los dispositivos caigan en una espiral de fallas

imágenes falsas

Apple se tomó el tiempo para corregir un error de iOS que facilita que los delincuentes deshabiliten completamente un dispositivo iOS a menos que la víctima realice una restauración de fábrica y siga otros pasos engorrosos, dijo un investigador.

HomeKit es un protocolo de comunicación desarrollado por Apple que permite a los usuarios usar sus iPhones o iPads para controlar luces, televisores, alarmas y otros dispositivos domésticos o de oficina. Los usuarios pueden configurar sus dispositivos para descubrir automáticamente dispositivos en la misma red, y también pueden compartir esta configuración con otras personas para que puedan usar sus propios iPhones o iPads para controlar los dispositivos. La función de compartir facilita permitir que nuevas personas, por ejemplo, una niñera o una niñera, controlen los dispositivos de un usuario.

Trevor Spiniolas, un programador autoproclamado y «investigador de seguridad en ciernes», dijo recientemente que una falla en su funcionalidad permite que alguien envíe un dispositivo iOS a una espiral descendente sin fin. Puede activarse utilizando un nombre extremadamente largo, de hasta 500.000 caracteres, para identificar uno de los dispositivos inteligentes y luego engañar a un usuario para que acepte una invitación para unirse a esa red.

Como muestran los videos de demostración a continuación, el dispositivo deja de responder lentamente hasta que finalmente se bloquea por completo. Reiniciar el dispositivo no ayuda. Cuando aparece la pantalla de inicio de sesión, es imposible ingresar una frase de contraseña. Todo lo que queda es realizar una restauración de fábrica. Incluso entonces, una vez que se restaura el dispositivo, dejará de responder una vez que vuelva a iniciar sesión en la cuenta de iCloud del usuario durante la configuración.

Vulnerabilidad de denegación de servicio de HomeKit (configuración después de la recuperación)

Vulnerabilidad de denegación de servicio de HomeKit (a través de una invitación a casa)

Spiniolas dijo que notificó a Apple sobre el error en agosto y recibió una respuesta que decía que se solucionaría a finales de año. El investigador dijo más tarde que Apple dijo que la solución sería a principios de 2022. En ese momento, anunció a la empresa que tenía la intención de publicar el error.

“Creo que este error se está manejando de manera inapropiada porque representa un riesgo grave para los usuarios y han pasado muchos meses sin una resolución integral”, escribió. «El público debe ser consciente de esta vulnerabilidad y cómo evitar que se explote, en lugar de mantenerse en la oscuridad».

El investigador dijo que Apple actualizó iOS recientemente para aliviar el problema. El parche limita la cantidad de caracteres en los nombres de los dispositivos. Sin embargo, esto no evita que un atacante ejecute una versión anterior que permita nombres de dispositivos excesivamente largos y luego engañe a alguien para que acepte una invitación. Incluso si el receptor está ejecutando la última versión de iOS, el dispositivo estará completamente bloqueado.

Este error de denegación de servicio es relativamente inofensivo en comparación con las vulnerabilidades de cero clics que a menudo permiten a los atacantes ejecutar código malicioso en iPhones. Pero si Apple quiere animar a los usuarios a confiar en sus dispositivos iOS, debería solucionar este error. Los representantes de Apple no respondieron a un correo electrónico solicitando un comentario sobre este artículo.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba