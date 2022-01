Un chercheur en sécurité a exposé une vulnérabilité dans la plate-forme HomeKit d’Apple qui pourrait rendre votre iPhone (ou toute autre personne ayant accès à votre configuration Apple Home) inutilisable. Le bogue a été signalé par le chercheur en sécurité Trevor Spiniolas, qui a détaillé dans un article de blog que le nom d’un appareil HomeKit modifié en quelque chose d’environ 500 000 caractères est la cause des problèmes…

Dans le billet de blog, Spiniolas dit que le bogue a été initialement signalé à Apple le 10 août et qu’il reste dans iOS 15.2. La société aurait promis de résoudre le problème dans une mise à jour de sécurité avant 2022, mais elle n’a pas tenu sa promesse. Apple dit maintenant qu’il réexaminera le problème « début 2022 », mais Spiniolas prend les choses en main pour divulguer publiquement les informations entre-temps.

Voici le synopsis du bug, selon le billet de blog de Spiniolas :

Le chercheur en sécurité note que dans iOS 15.1, Apple a ajouté une limite à la longueur du nom qu’une application ou que l’utilisateur peut définir pour un accessoire domestique.

Notamment, le bogue affecte les utilisateurs même s’ils n’ont ajouté aucun appareil domestique. Cela se produirait si quelqu’un acceptait « une invitation à une maison contenant un appareil HomeKit avec une grande chaîne comme nom ». Cela est vrai même sur la dernière version d’iOS 15.2.

« Si un attaquant devait exploiter cette vulnérabilité, il serait de toute façon beaucoup plus susceptible d’utiliser des invitations Home plutôt qu’une application, car les invitations n’exigeraient pas que l’utilisateur possède réellement un appareil HomeKit », poursuit Spiniolas.

Alors, quel est le résultat si vous êtes touché par cela ? Cela se résume essentiellement à savoir si vous avez ou non des appareils domestiques activés dans Control Center. Comme le note Spiniolas, l’activation des appareils domestiques dans le centre de contrôle est le comportement par défaut lorsqu’un utilisateur a accès aux appareils domestiques.

Voici ce qui se passe si les appareils ne ne pas avoir les appareils domestiques activés dans le centre de contrôle :

Et si vos appareils Est-ce que avoir les appareils domestiques activés dans le centre de contrôle :

iOS ne répondra plus. Toutes les entrées vers l’appareil sont ignorées ou considérablement retardées, et il sera incapable de communiquer de manière significative via USB. Après environ une minute, backboardd sera arrêté par le chien de garde et se rechargera, mais l’appareil ne répondra pas. Ce cycle se répétera indéfiniment avec un redémarrage occasionnel. Le redémarrage, cependant, ne résout pas le problème, pas plus que la mise à jour de l’appareil. Étant donné que la communication USB ne fonctionnera plus qu’à partir du mode Récupération ou DFU, à ce stade, l’utilisateur a effectivement perdu toutes les données locales car son appareil est inutilisable et ne peut pas être sauvegardé. De manière critique, si l’utilisateur restaure son appareil et se reconnecte à l’iCloud précédemment utilisé lié aux données, le bogue sera à nouveau déclenché avec exactement les mêmes effets qu’auparavant.