doorlock

Apple, iPhone’ları ve iPad’leri Devre Dışı Bırakabilen ‘doorLock’ Hatasını Düzeltti

Apple, iOS 14.7 ve sonraki sürümlerinde HomeKit çalıştıran iPhone'ları ve iPad'leri tamamen devre dışı bırakacak olan DoorLock adlı kalıcı bir hizmet reddi (DoS) sorununu gidermek için güvenlik güncellemeleri yayınladı.

HomeKit, iOS ve iPadOS kullanıcılarının ağlarındaki akıllı ev cihazlarını keşfetmelerine ve kontrol etmelerine olanak tanıyan bir Apple protokolü ve çerçevesidir.

Şirketin bugün yayınlanan bir güvenlik tavsiyesinde açıkladığı gibi, CVE-2022-22588 olarak izlenen doorLock güvenlik açığı, kötü niyetli olarak hazırlanmış HomeKit aksesuar adlarını işlerken etkilenen iOS ve iPadOS cihazlarını çökertecek.

Apple, iOS 15.2.1 ve iPadOS 15.2.1'deki bu ciddi kaynak tükenmesi sorununu, artık saldırganların savunmasız cihazları devre dışı bırakmasına izin vermeyen gelişmiş giriş doğrulaması ekleyerek çözmüştür.

Bugün güvenlik güncellemeleri alan cihazlar arasında iPhone 6s ve üstü, iPad Pro (tüm modeller), iPad Air 2 ve üstü, iPad 5. nesil ve üstü, iPad mini 4 ve üstü ve iPod touch (7. nesil) bulunuyor.

"Dört ay önce iOS'ta hala en son sürümde kalan ciddi bir hizmet reddi hatası keşfettim ve bildirdim. Yeniden başlatmalarla devam ediyor ve belirli koşullar altında geri yüklemelerden sonra tetiklenebilir," diyor programcı ve "başlangıç güvenlik araştırmacısı" Trevor Spiniolas. Hatayı tespit etti ve bildirdi.

"Tüm gereksinimler varsayılan ayarlardır. Birisi iOS cihazını kurduğunda, hatanın çalışması için her şey zaten yolundadır. Oradan kötü niyetli bir ev davetini kabul ederlerse cihazları çalışmayı durdurur."

Düzeltme Ağustos'tan beri ertelendi

Spiniolas'a göre Apple, DoorLock'u Ağustos 2021, 2021'den beri biliyor, ancak defalarca düzeltme sözü vermesine rağmen güvenlik güncellemesini birkaç kez zorladı.

Spinolas, "Kullanıcılar için ciddi bir risk oluşturduğu ve aylarca kapsamlı bir düzeltme yapılmadığı için bu hatanın uygunsuz bir şekilde ele alındığına inanıyorum." dedi.

Kamuoyu bu güvenlik açığının farkında olmalı ve karanlıkta kalmak yerine kötüye kullanılmasının nasıl önleneceğini bilmeli” dedi.

Araştırmacı, saldırganların bir HomeKit cihazının adını 500.000 karaktere kadar büyük dizilerle değiştirmesi ve hedefi bir Ev davetini kabul etmesi için kandırması gerektiğini söylüyor.

Hedef, saldırganın HomeKit ağına katıldığında, cihazları yanıt vermemeye başlar ve sonunda çöker.

Böyle bir saldırıdan kurtulmanın tek yolu, HomeKit cihazına bağlı iCloud hesabında yeniden başlatıldıktan ve tekrar oturum açıldıktan sonra bir kez daha çökeceği göz önüne alındığında, devre dışı bırakılan cihazı fabrika ayarlarına sıfırlamak olacaktır.

Sıfır gün yamaları da ertelendi

Eylül ayında, yazılım geliştiricisi Denis Tokarev, Apple'ın yamalamayı geciktirmesi ve Temmuz ayında dördüncü yama yaparken onu kredilendirmemesinin ardından GitHub'daki üç iOS sıfırıncı gün kusuru için kavram kanıtı açıklarından yararlanma kodunu da bıraktı.

Bir ay sonra, iOS 15.0.2'nin piyasaya sürülmesiyle Apple, Tokarev tarafından bildirilen 'oyuna dayalı' sıfırıncı gün güvenlik açıklarından birini düzeltti.

Ancak Apple, keşif için onu kabul etmedi veya ona kredi vermedi ve ayrıca sessiz kalmasını ve şirketin hata için ona kredi vermediğini başkalarına açıklamamasını istedi.

Diğer güvenlik araştırmacıları ve hata ödül avcıları da Apple'ın mesajlarına cevap vermeyi reddetmesiyle aylarca karanlıkta tutulduklarını söyleyerek benzer deneyimler yaşadılar.


Kaynak: https://www.bleepingcomputer.com/news/security/apple-fixes-doorlock-bug-that-can-disable-iphones-and-ipads/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Apple, iPhone'ları ve iPad'leri Devre Dışı Bırakabilen 'doorLock' Hatasını Düzeltti

3 min