iOS 11.2 a encore aggravé la vulnérabilité de HomeKit

Apple a récemment publié l’iOS 11.2.1 et tvOS 11.2.1 afin de corriger une faille découverte dans HomeKit permettant l’accès non autorisé aux appareils connectés d’un domicile.

Cependant, il y a un petit problème sur les méthodes utilisées par Apple a traité le problème. Le développeur Khaos Tian a en effet publié un long message sur la façon dont il est possible de profiter de cette vulnérabilité, qu’il a trouvé sur l’Apple Watch sous watchos 4.0 ou 4.1, et qu’il a signalé à plusieurs reprises à Apple par email depuis fin octobre.

Malgré l’envoi de ses rapports répétés, il semble que l’entreprise, y compris Craig Federighi, ait ignoré une partie de ses emails pendant plusieurs jours après avoir simplement répondu en les informant qu’ils enquêteraient sur le problème. Le pire est qu’iOS 11.2 semble avoir encore amplifié le problème, de manière à forcer Apple à réagir précipitamment en désactivant dans la foulée certaines fonctionnalités de HomeKit après que 9to5Mac ait signalé le problème à Apple FR.

Apple a souvent fait l’éloge de HomeKit qui, en raison du cryptage lourd du système, devrait offrir des niveaux élevés de sécurité. Cependant, il est clair qu’Apple a peut-être trop sous-estimé ce problème.