Autor del artículo
Daniel Cepeda
Artículos escritos
69

Apple corrige la vulnerabilidad doorLock en HomeKit que permitía ataques DoS en iPhone y iPad

Apple ha publicado actualizaciones para iOS y iPadOS que solucionan un problema de denegación de servicio (DoS) que afecta a la infraestructura del marco doméstico inteligente HomeKit.
Anoche los usuarios de los sistemas operativos móviles iOS y iPadOS recibieron la actualización número 15.2.1, que corrige la vulnerabilidad doorLock. Se sabe que el fallo ha provocado un DoS en dispositivos iPhone y iPad que ejecutan HomeKit (en iOS 14.7 y versiones posteriores del sistema operativo).

HomeKit es el protocolo y la plataforma homónima de Apple que permite a los usuarios de iOS y iPadOS detectar y controlar los electrodomésticos inteligentes de su red.

La vulnerabilidad se llama doorLock y tiene el identificador CVE-2022-22588. Según explica Apple, el fallo está relacionado con un “problema de agotamiento de recursos” que puede producirse al manejar un nombre de dispositivo malicioso (una cadena de más de 500.000 caracteres) con soporte para HomeKit.

 

Habría que engañar a la víctima para que aceptara una invitación de dicho dispositivo.

Y lo que es peor, dado que los nombres de los dispositivos HomeKit están reservados en iCloud, volver a entrar en una cuenta de iCloud asociada a un dispositivo HomeKit podría volver a inducir un DoS y hacer que los dispositivos entren en un ciclo de reinicio interminable que solo puede detenerse con un restablecimiento de fábrica.

iOS 15.2.1 y iPadOS 15.2.1 Apple ha solucionado el problema añadiendo una validación de entrada mejorada. Ahora los atacantes no podrán desactivar los dispositivos móviles de las víctimas.

El problema fue descubierto en agosto de 2021 por el especialista en SI Trevor Spiniolas. Dice que la empresa se tomó inicialmente el fallo a la ligera y trabajó en la corrección durante demasiado tiempo:

Trevor Spiniolas
Programador e investigador de seguridad principiante.
Creo que la corrección de esta vulnerabilidad se planteó de forma incorrecta, ya que suponía un grave riesgo para los usuarios, pero pasaron muchos meses sin una corrección integral.

Apple ha solucionado el problema con el lanzamiento de iOS 15.2.1 y iPadOS 15.2.1, añadiendo una validación de entrada mejorada que ya no permite a los atacantes atacar dispositivos vulnerables.

Las actualizaciones de ayer están disponibles para los usuarios de iPhone 6s y posteriores, iPad Pro, iPad Air 2 y posteriores, iPad 5 y posteriores, iPad mini 4 y posteriores y iPod touch (séptima generación).

Anteriormente
NoticiasUna vulnerabilidad en macOS provoca una fuga de datos
Siguiente
NoticiasEl FBI admite haber comprado software espía a NSO Group
Malas.
0
Bien.
1
Genial.
1
Añade un comentario