Article
애플 iOS, 홈킷에 영향 미치는 서비스 거부 취약점 ‘doorLock’ 발견 - 데일리시큐
애플 홈킷(HomeKit)에서 iOS 14.7부터 15.2 버전까지 영향을 미치는 새로운 서비스 거부 취약점, ‘doorLock’이 발견되었다.애플 홈킷은 사용자가 애플 기기를 통해 스마트 가전 제품을 제어할 수 있도
www.dailysecu.com
애플 iOS, 홈킷에 영향 미치는 서비스 거부 취약점 ‘doorLock’ 발견
데일리시큐, hsk, 2022.01.04 14:14
Resurch
▶ DoorLock 취약점
- Apple Homekit을 지원하는 제품 이름을 500,000자 이상으로 변경하는 공격
- 이름을 50만자 이상 설정하여 공격 대상에게 앱 초대 메세지를 보냄
- 초대 수락시 긴 문자열로 구성된 장치 이름을 불러오는 과정에서 기기 마비
- 단말 강제 초기화 만으로 해결 가능, 백업 파일 다운로드시 버그 재활성화
- 랜섬웨어 형태로 악용될 가능성
Summary
- 애플 홈킷(HomeKit)에서 iOS 14.7부터 15.2 버전까지 영향을 미치는 새로운 서비스 거부 취약점, ‘doorLock’이 발견
- 애플 홈킷은 사용자가 애플 기기를 통해 스마트 가전 제품을 제어할 수 있도록 하는 소프트웨어 프레임워크
- doorLock을 트리거 하기 위해 공격자는 홈킷 장치의 이름을 50만 글자 이상으로 수정해야 함
- 사용자가 홈킷에 추가한 홈 장치가 없더라도, 추가 초대를 위조하고 수락하도록 하는 공격 경로도 존재
- 기기가 재부팅되고 사용자가 홈킷에 연결된 아이클라우드 계정에 다시 로그인하면 버그가 다시 트리거
- 해당 취약점은 ‘홈’에 대한 액세스 권한이 있는 자나 초대를 수동으로 수락하는 방법을 통해서만 악용될 수 있음
