Un bug Apple HomeKit peut faire crasher des appareils iOS

Le chercheur en sécurité Trevor Spiniolas a découvert et rendu publique une vulnérabilité de déni de service persistant affectant iOS 15.2 - iOS 14.7 (et probablement jusqu'à 14.0). 

La vulnérabilité peut être exploitée via l' API HomeKit d'Apple, l'interface logicielle qui permet à une application iOS de contrôler les appareils domestiques intelligents compatibles, explique The Verge.

Bien qu'initialement signalé le 10 août dernier, le bug affecterait toujours iOS 15.2. Spiniolas explique qu'Apple prévoyait de le résoudre « avant 2022 », mais que le 8 décembre, ils ont révisé leur estimation à « début 2022 ».

Il les avait dès lors informés le 9 décembre avoir l'intention de divulguer publiquement ces informations le 1er janvier 2022 « car il présente un risque sérieux pour les utilisateurs et de nombreux mois se sont écoulés sans un correctif complet ». 

En l'espèce, lorsque le nom d'un appareil HomeKit est remplacé par une grande chaîne (500 000 caractères dans les tests), tout appareil avec une version iOS affectée installée qui charge la chaîne sera perturbé, même après le redémarrage. La restauration d'un appareil et la reconnexion au compte iCloud lié à l'appareil HomeKit déclencheront à nouveau le bug.

Or, si l'appareil a des appareils domestiques activés dans le centre de contrôle (le comportement par défaut), iOS ne répondra plus. Toutes les entrées vers l'appareil seront ignorées ou considérablement retardées, et il sera incapable de communiquer de manière significative via USB.

Étant donné que la communication USB ne fonctionnera plus qu'à partir du mode Récupération ou DFU, à ce stade, l'utilisateur aura effectivement perdu toutes les données locales car son appareil sera inutilisable et ne pourra pas être sauvegardé.

Les applications ayant accès aux données d'accueil des propriétaires d'appareils HomeKit pourraient les verrouiller et les empêcher de se reconnecter à leur iCloud sur iOS. Un attaquant pourrait également envoyer des invitations à une maison contenant les données malveillantes aux utilisateurs sur l'une des versions iOS décrites, même s'ils ne disposent pas d'un appareil HomeKit.

Si ce bug présente un risque important pour les données des utilisateurs d'iOS, ces derniers peuvent éviter le pire en désactivant les appareils domestiques dans le centre de contrôle afin de protéger les données locales, explique le chercheur.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !