Beveiligingsonderzoeker Trevor Spiniolas maakte zijn ontdekking al in augustus 2021 bekend bij Apple. Sindsdien heeft hij niets meer gehoord en Spiniolas heeft daarom het besluit genomen om ermee naar buiten te treden. De kans dat je er per ongeluk mee te maken krijgt is echter klein. De kwetsbaarheid komt aan het licht als je erg lange apparaatnamen gebruikt. In de test hanteerde de onderzoeker daarvoor een lange naam van rond de 500.000 karakters. HomeKit heeft moeite met het verwerken van een dergelijke lange naam, waardoor er zowel op iDevices als in iCloud problemen optreden.
doorLock: kwetsbaarheid in HomeKit
Spiniolas heeft zijn kwetsbaarheid ‘doorLock’ genoemd en zegt dat het in iOS 14.7 en nieuwer voorkomt. In iOS 15 en latere versies is er een maximum gesteld aan de lengte van apparaatnamen (iets dat doet vermoeden dat Apple achter de schermen wel aan een oplossing heeft gewerkt). Maar als de bug wordt geactiveerd op een iOS-versie zonder de karakterlimiet en de HomeKit-gegevens worden gedeeld, worden ook andere apparaten getroffen, ongeacht de iOS-versie.
Herstarten zou het probleem niet oplossen. Ernstiger is volgens Spiniolas dat een aanvaller een uitnodiging voor de Woning-app kan uitsturen en een apparaat kan infecteren met de doorLock-bug, zelfs als de eigenaar geen HomeKit-apparaat heeft. Spiniolas is boos: hij vindt dat de bug een ernstig riscio vormt voor gebruikers en dat Apple er ongepast mee is omgegaan. “Er zijn vele maanden verstreken zonder een uitgebreide fix”, schrijft de onderzoeker. Hij vindt dat het publiek op de hoogte moet worden gebracht, in plaats van in het duister te worden gehouden. Apple zou een oplossing hebben gepland, maar heeft nog geen update uitgebracht.
Om je HomeKit-apparaten beter af te schermen van de buitenwereld zou je een HomeKit-router kunnen overwegen, al is nog onduidelijk of dit ook helpt tegen de lange apparaatnamen van de doorLock-bug.