Une mauvaise gestion des noms des objets connectés permet de geler le système d’exploitation. Aucun correctif n’est disponible pour l’instant.
Le chercheur en sécurité Trevor Spiniolas vient de révéler l’existence d’une faille dans le logiciel de domotique HomeKit d’Apple, permettant de provoquer un déni de service sur n’importe quel terminal sous iOS, y compris pour la version actuelle 15.2. Le bug se trouve au niveau de la gestion des noms des objets connectés à un réseau HomeKit. Si l’un de ces noms est trop long (plus de 500 000 caractères par exemple), n’importe quel terminal iOS qui se connecte à ce réseau va planter, comme on peut le voir dans cette vidéo.
Le scénario d’attaque le plus probable serait alors qu’un pirate crée un tel réseau HomeKit, puis invite une personne à le rejoindre. Si la personne accepte, l’appareil va télécharger les données de ce réseau HomeKit au travers d’iCloud, puis le système d’exploitation se figera. La seule manière de sortir de cette mauvaise passe est de restaurer l’appareil sans se connecter à iCloud. Quand l’appareil est de nouveau opérationnel, on peut se connecter à iCloud à condition de désactiver immédiatement l’accès à HomeKit, pour éviter le téléchargement des données malveillantes.
Évidemment, cette solution n’est pas très satisfaisante, car on perd la fonctionnalité HomeKit. Ceux qui ont des compétences en développement Xcode peuvent aller plus loin et utiliser le code d’exploitation que Trevor Spiniolas a publié sur GitHub pour renommer tous les noms d’objets du réseau HomeKit malveillant. Malheureusement, il n’existe aucune méthode plus simple pour résoudre le problème.
Apple a été alerté sur ce problème le 10 août 2021. La firme a indiqué qu’elle fournirait un correctif « début 2022 », mais le chercheur estime que cette faille mériterait plus d’attention. « Je pense que ce bug permet de créer des ransomwares sur iOS, ce qui est incroyablement important », souligne-t-il dans une note de blog. Compte tenu de ce risque, M. Spiniolas a estimé qu’il était mieux d’informer le public dès à présent, plutôt que d’attendre la publication d’un patch.
Source: 01net