Un chercheur en sécurité a révélé une vulnérabilité iOS qui utilise HomeKit comme vecteur d’attaque et implique des noms d’appareils très longs.

services homekit apple

La faille de sécurité a été révélée à Apple en août 2021, pour être rendue publique le 1er janvier, concerne la plateforme HomeKit et concerne les appareils iOS et iPadOS.

Selon le chercheur en sécurité Trevor Spiniolas, si le nom d’un appareil HomeKit est remplacé par une chaîne très longue, définie sur 500 000 caractères sur les appareils de test, les appareils iOS et iPadOS qui chargent la chaîne peuvent être redémarrés et rendus inutilisables. De plus, étant donné que le nom est stocké dans iCloud et mis à jour sur tous les autres appareils iOS du même compte, le bug peut réapparaître à plusieurs reprises.

Spiniolas a appelé le bug « Doollock » et prétend qu’il affecte tous les appareils iOS 14 testés par le chercheur. Comme pour iOS 15, la dernière version du système d’exploitation impose une limite à la longueur d’un nom qu’une application ou un utilisateur peut définir, mais ce nom peut toujours être mis à jour à partir des versions précédentes d’iOS et concerner tous les appareils via iCloud mis à jour. Si le bug est déclenché sur une version iOS sans limite et partage les données HomeKit, tous les appareils seront affectés par le bug.

Le bug provoque le blocage de certaines fonctions liées à HomeKit et, dans certains cas (lorsqu’au moins un appareil HomeKit est enregistré dans le Centre de contrôle), il rend également les appareils iOS et iPadOS impliqués inutilisables. Un redémarrage ne résout pas le problème, puisque la seule solution est de restaurer l’iPhone ou l’iPad. Cependant, la restauration et le réenregistrement du même compte iCloud déclencheront à nouveau le bug avec les mêmes effets que ceux énumérés.

Le chercheur précise que ce bug peut également être exploité via une application avec accès aux données personnelles. De plus, il est possible pour un pirate d’envoyer des invitations au domicile d’un autre utilisateur, même si la cible ne possède pas d’appareils HomeKit.

Trevor Spiniolas affirme que le pire des cas – le gel de l’iPhone et de l’iPad – peut être évité en désactivant les appareils domestiques à partir du centre de contrôle. Pour ce faire, vous devez vous rendre dans Réglages > Centre de contrôle et désactiver l’élément « Afficher les commandes de la maison », même s’il suffit de faire attention aux invitations reçues et liées à l’entrée sur les réseaux domestiques d’autres utilisateurs, en particulier pour ceux qui viennent de contacts inconnus.

Le chercheur affirme avoir signalé le bug à Apple le 10 août, la société promettant une mise à jour d’ici la fin de 2021. Cependant, aucun correctif n’a encore été publié et une mise à jour corrective n’est attendue que « au cours de 2022 ».

Partager un commentaire