HomeKit bug maakt iPhones en iPads onbruikbaar

Een probleem in HomeKit zorgt er voor dat iPads en iPhones vastlopen en pas bij een volledige reset weer functioneren. Het gaat om de kwetsbaarheid CVE-2022-225888 die in toestellen met HomeKit op iOS 14.7 opduikt. In iOS 15.2 en iPadOS 15.2 wordt het probleem opgelost.

HomeKit is het protocol van Apple om slimme (IoT) toestellen voor thuis aan te sturen. De bug wordt misbruikt door een uitnodiging voor een koppeling met een nieuw toestel te sturen, waarbij de aanvaller de naam van dat toestel wijzigt naar een reeks met meer dan 500.000 tekens. Zodra iOS die naam verwerkt, blokkeert of crasht het toestel. Het is dus een soort van DoS-aanval. Ook herstarten doet weinig. Pas wanneer het toestel naar de fabrieksinstellingen wordt hersteld is het probleem verholpen.

De bug is ontdekt door Trevor Spiniolas. Tegenover Bleeping Computer vertelt hij dat hij de bug vier maanden geleden ontdekte en rapporteerde bij Apple. Intussen heeft Apple met een update er voor gezorgd dat er een betere inputvalidatie gebeurt waardoor het crashen niet meer zou mogen gebeuren.

In samenwerking met Data News