点击关注公众号,一周多次包邮送书
来源:经授权转自 扩展迷EXTFANS(ID:infinitydaily)
作者:Seven–7
最近几年 ,智能家居的发展十分迅速,智能安防、智能门锁等等一系类智能家居产品已成为许多90后、00后追求的潮流。与谷歌、微软等实力相当的国际知名互联网公司相比,在智能家居方面,苹果显得低调而慎重。2014年,苹果发布了一款名为 HomeKit 的一款智能家居平台,集成在 iOS 系统内,开关控制几乎无延迟,体验非常棒。但由于支持 HomeKit 的硬件产品过少且大多价格昂贵,国内用户或许并不多。据外媒 Apple Insider 报道,近日,国外的一位安全人员Trevor Spiniolas,在苹果内置的 HomeKit 平台里发现了一个名为“doorLock”漏洞。据 Trevor Spiniolas 称,若用户将 HomeKit 的设备名称改成超级长的字符串,就可以让 iOS 或者 iPadOS 直接重启启动,并且无法正常使用设备。另外,由于 HomeKit 是账户共享的,所以即使该错误在没有限制的 iOS 版本上被触发,一旦用户共享了 HomeKit 数据,那么该账户下的所有 iOS 和 iPadOS 设备均会出现设备崩溃无法使用的问题。由于 Trevor Spiniolas 测试的是 iOS 14.7 以上的版本,理论上将手机的设备及时更新到 iOS 15、或者干脆就停留在 iOS 13及以下,都不会遇到这样的 Bug。但是如果你在 iOS14 设备上更改之后,共享的 iOS15 设备依然会受到影响,也就是说该漏洞在 iOS15 上也是存在的。
如果有人使用 iOS14 的设备将 HomeKit 设备名称改成超长的字符,然后共享给其它 iOS14 或者 iOS15 设备,那么被共享的设备将会变的极其卡顿,然后出现崩溃重启等情况。Trevor Spiniolas 还认为,该漏洞很容易被黑客用于恶意的目的——就算用户没有 HomeKit 设备,攻击者也可以向其他用户发送邀请。目前,根据研究人员的说法,用户可以通过控制中心打开“设置”和“控制中心”,然后切换“显示家庭控制”的设置来禁用 Home 设备,或许可以避免这种糟糕的情况。此外,用户还需要对加入其他用户的家庭网络的邀请保持警惕,特别是那些来自未知联系人的邀请。最后,Trevor Spiniolas 称,发现该漏洞后他就已经和苹果公司及时通报过,但当时得到的答复是:2022年年初才能解决(但现在仍未解决)。如果大家想要规避这个漏洞,其实也很简单:不要手欠乱改设备名称或者干脆升级到 iOS 15及以上版本,更不要乱接受陌生人的邀请。事实上,苹果已经多次被曝光特殊字符漏洞,早在2021年的6月、7月,安全人员接连在iPhone上发现特殊字符Bug。比如,iPhone连接特定SSID「%p%s%s%s%s%n」或「%SecretClub%power」的WiFi,会使手机无线连接功能作废。
👇更多内容请点击👇