Trevor Spiniolas es un reconocido investigador de seguridad móvil que ha reportado diversos problemas y errores afectando múltiples dispositivos tecnológicos de uso común. En su más reciente reporte, el experto detalla el hallazgo de una vulnerabilidad en Apple HomeKit para las versiones de iOS entre 14.7 y 15.2, la que podría llevar a un escenario de denegación de servicio (DoS) persistente en los dispositivos afectados.
El software afectado es un marco de trabajo disponible en iOS/iPadOS y que permite a los usuarios configurar y controlar diversas máquinas inteligentes a través de sus dispositivos Apple, facilitando la creación de un entorno completamente conectado. Spiniolas cree que Apple estuvo al tanto del error desde mediados de 2021, aunque hasta ahora no se han aplicado mecanismos para abordarlo.
El experto agrega que los actores de amenazas podrían desencadenar la vulnerabilidad cambiando el nombre de un dispositivo HomeKit a una cadena de más de 500,000 caracteres, lo que forzaría el reinicio de los dispositivos iPad/iOS afectados. La falla solo puede ser explotada por hackers maliciosos con acceso a las configuraciones de la víctima.
Para ello, Spiniolas creó una app de iOS que tiene acceso a los datos de Home y cambia los nombres de los dispositivos HomeKit.
Para resolver el problema, es necesario forzar un reinicio del dispositivo que hará que se eliminen todos los datos almacenados y posteriormente restaurar el dispositivo usando una copia de seguridad, además es necesario resaltar que restaurar un dispositivo y volver a iniciar sesión en la cuenta de iCloud vinculada al dispositivo HomeKit volverá a desencadenar el error.
Sobre el posible uso malicioso de este error, Spiniolas mencionó que los operadores de ransomware podrían explotar la falla para bloquear un dispositivo vulnerable: “Una aplicación con acceso a los datos de inicio de usuarios de HomeKit podría bloquear los datos locales y evitar que la víctima acceda a sus copias de seguridad”, agrega el experto.
Es posible mitigar el riesgo de explotación desactivando los dispositivos domésticos en el centro de control de iOS, además de mantenerse alertas ante cualquier invitación para unirse a la red doméstica de otros usuarios.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.