近日安全研究人員披露了存在於iOS 系統中的漏洞，使用HomeKit 進行攻擊，而且蘋果修復該漏洞的速度非常緩慢。安全研究員Trevor Spiniolas 稱，如果HomeKit 設備名稱被改為一個“很長的字符串”，在測試中設定為50 萬個字符，加載該字符串的iOS 和iPadOS 設備就會被重新啟動並無法使用。

此外，由於該名稱存儲在iCloud 中，並在登錄到同一賬戶的所有其他iOS 設備中得到更新，該錯誤可能會反復出現。

Spiniolas 稱這個漏洞為“doorLock”，並聲稱它影響到測試中的iOS 14.7 以上的所有iOS 版本，儘管它也可能存在於所有iOS 14 版本中。

此外，雖然iOS 15.0 /15.1 中的更新對應用程序或用戶可以設置的名稱長度進行了限制，但以前的iOS 版本仍然可以更新名稱。如果該錯誤在沒有限制的iOS 版本上被觸發，並共享HomeKit 數據，那麼與之共享數據的所有設備也將受到影響，無論版本如何。

這會導致兩種情況發生，在控制中心沒有啟用Home 設備的設備會發現Home 應用無法使用並崩潰。重啟或更新都不能解決這個問題，恢復的設備如果簽入同一個iCloud 賬戶，將再次使Home 無法使用。

對於在控制中心啟用了Home設備的iPhone和iPad，也就是用戶訪問HomeKit設備時的默認設置，iOS本身變得毫無反應。輸入變得延遲或被忽略，設備沒有反應，偶爾會經歷重啟。

在這種情況下，重啟或更新設備都無法解決，而中斷的USB訪問基本上會迫使用戶恢復設備並丟失所有本地數據。然而，恢復和簽署到同一iCloud賬戶將再次觸發該錯誤，其效果與之前相同。

Spiniolas認為這個問題可能被用於惡意的目的，比如通過一個可以訪問家庭數據的應用程序自己引入這個錯誤。攻擊者向其他用戶發送對Home的邀請也是可行的，即使目標不擁有HomeKit設備。

據研究人員稱，通過在控制中心禁用Home設備，可以避免這兩種情況中最糟糕的情況。要做到這一點，打開”設置”和”控制中心”，然後將”顯示家庭控制”的切換設置為關閉。用戶還應該對加入其他用戶的家庭網絡的邀請保持警惕，特別是那些來自未知聯繫人的邀請。

Spiniolas聲稱，他最初在8月10日向蘋果公司報告了這個錯誤，據說蘋果公司計劃在2022年底前發布修復該錯誤的安全更新。然而，據稱蘋果隨後在12月8日將其估計改為”2022年初”。

該研究人員寫道：“我認為這個bug的處理是不恰當的，因為它給用戶帶來了嚴重的風險，而且很多個月過去了，沒有得到全面的修復。公眾應該知道這個漏洞以及如何防止它被利用，而不是被蒙在鼓裡”。