Apple brengt iOS 15.2.1 uit om DDoS-kwetsbaarheid te patchen
Het gaat om een beveiligingsrisico in het HomeKit-protocol van Apple. Dat regelt de verbindingen met verschillende smarthometoestellen. Wie slechte bedoelingen had, kon een iPhone of iPad doen crashen en freezen door de naam van een compatibel HomeKit-apparaat te veranderen en die wel 500.000 karakters lang te maken. Met iOS 15.2.1 wordt dat onmogelijk gemaakt.
Omdat iOS HomeKit-toestelnamen ook in iCloud opslaat als back-up, konden iOS-gebruikers verzeild raken in een haast eindeloze loop van crashes. Apples nieuwste update maakt komaf met dat risico.
“iOS 15.2.1 bleef te lang uit”
Het was security-onderzoeker Trevor Spiniolas die de kwetsbaarheid blootlegde. Hij documenteerde het probleem op zijn website. Zijn publicatie dateert van 1 januari en hij zegt dat hij Apple in augustus al had gewaarschuwd voor het beveiligingslek. De Amerikaanse techreus beloofde het probleem op te lossen voor het eind van 2021, maar een definitieve fix kwam er dus nu pas.
“Ik vind dat deze bug niet op de gepaste manier aangepakt wordt en dat die een groot risico inhoudt voor gebruikers. Er zijn al verschillende maanden voorbijgegaan zonder een duidelijke oplossing”, schreef Spiniolas bij de jaarwisseling.
De techneut kwam erachter dat de kwetsbaarheid in alle iOS-versies bestaat vanaf iOS 14.7. Wellicht is dat ook het geval voor alle versies vanaf iOS 14. Wie dus al een tijdje achterloopt met zijn updates, heeft nu alle reden om meteen te upgraden naar iOS 15.2.1.