En synnerligen allvarlig bugg i HomeKit kan leda till att din iPhone slås ut, helt och hållet, utan möjlighet att återställa telefonen i brukbart skick.

Buggen, av så kallad Denial of Service typ, kan leda till att en enhet med iOS/iPadOS 15.2 – iOS 14.7 kan fås att krascha inte en gång utan upprepade gånger – vilket gör enheten obrukbar. Buggen, som inte är helt lätt att exploatera innebär också att inte ens efter en omstart, hård eller mjuk så går enheten att använda igen.

The Bug

When the name of a HomeKit device is changed to a large string (500,000 characters in testing), any device with an affected iOS version installed that loads the string will be disrupted, even after rebooting. Restoring a device and signing back into the iCloud account linked to the HomeKit device will again trigger the bug. There are two main scenarios that may occur afterwards, as outlined in the ”Effects” section of this document.

Exploitation

Using Apple’s HomeKit API, any iOS app with access to Home data may change the names of HomeKit devices. In iOS 15.1 (or possibly 15.0) a limit on the length of the name an app or the user can set was introduced. On iOS versions previous to these, an application can trigger the bug since this limit is not present. If the bug is triggered on a version of iOS without the limit and the device shares HomeKit data with a device on an iOS version with the limit, both will be still be affected. If a user does not have any Home devices added, the bug can still be triggered by accepting an invitation to a Home that contains a HomeKit device with a large string as its name, even on iOS 15.2. The bug can also be triggered on versions without the length limit by simply copying a large string of text and pasting it when manually renaming a Home device, although the Home app may crash when doing so.

Det är säkerhetsforskaren Trevor Spiniolas, som hittat och som rapporterat buggen till Apple. Inledningsvis så väntade Trevor Spiniolas med att rapportera buggen, berätta om den offentligt, förutom Apple, för att Apple skulle få tid på sig att åtgärda felet. Det finns en outtalad regel som säger att buggar som rapporterats ska vara åtgärdade inom 90 dagar – sen har den som rapporterat buggen gjort sitt och får därmed berätta om buggen offentligt.

https://youtu.be/_BmI5Otsm9I

Exploatering

Det handlar i korthet om att döpa om en sak som är uppkopplad till ett namn på mer än 500 000 tecken. Även om det låter osannolikt så går det att göra, det är fullt möjligt tekniskt eftersom det saknas en spärr för hur långt att namn får vara. Därmed så öppnas möjligheten får någon obehörig att göra det och då namn på anslutna saker lagras i iCloud så distribueras namnet via synkroniseringen ut till andra enheter som är anslutna till samma HomeKit-konto. Det här gör det också svårt, närmast, omöjligt att åtgärda felet. Återställer du en drabbad enhet så kommer det att börja att krascha igen så snart som den ansluts till HomeKit. I bästa fall så kommer appen Home att bli obrukbar – i värsta fall så blir din iPhone och iPad obrukbara.

https://youtu.be/UwbhCliYuDg

Apples besked till Trevor Spiniolas var att buggen skall åtgärdas men den finns fortfarande kvar i den senaste versionen av iOS/iPadOS.