Apple 正式推出 iOS 和 iPadOS 15.2.1 小更新,雖然發佈說明指今次更新只是修正兩個小錯誤,不過實際上更重要的卻是修正去年發現,可令用戶名下所有 Apple 裝置癱瘓的 HomeKit 的漏洞。
iOS 15.2.1 的發佈說明中指今次更新修正包括:
- 「訊息」可能無法載入透過 iCloud 連結傳送的相片
- 第三方 CarPlay App 可能無法回應輸入
不過根據 Apple 另外一份分開發佈,名為「有關 iOS 15.2.1 和 iPadOS 15.2.1 的安全內容」通知就指出,今次更新其實是修正今年 1 月被公開的「處理惡意製作的 HomeKit 配件名稱可導致拒絕服務」的問題,這個問題可以導致用戶名下所有 iPhone 和 iPad 一同耗盡資源而持續癱瘓。
這個被名為 doorLock 的漏洞最初是安全研究員 Trevor Spiniolas 在去年 8 月 10 日向 Apple 報告的,但到年底仍未得到完全修補而被公開。他發現 HomeKit 配件名稱如果多於 50 萬字,就會令 iPhone 癱瘓。由於 HomeKit 配件名稱會儲存在用戶的 iCloud 帳戶內,而且自動發佈到用戶名下所有 iOS/iPadOS 裝置,所以可以令用戶所有 iPhone 、 iPad 以至 iPod touch 一同癱瘓。受影響的 iOS 版本由 14.7-15.2 ,所以波及 iPhone 6s 、 所有 iPad Pro 、 iPad Air 2 、 5 代 iPad 、 iPhone mini 4 以至 7 代 iPod touch 。
雖然說要為智能家電產品起個 50 萬字名稱工程相當浩大,但難保有人刻意用 Raspberry Pi 等單板電腦和微控制器,配合 Homebridge 等開源程式來製造惡意 HomeKit 配件,或者透過 Home App 「加入成員」功能,來邀請別人加入含有惡意配件的家居,刻意癱瘓別人所有 Apple 裝置,所以也是應該立即更新的。
