Un bug Apple HomeKit peut envoyer des appareils iOS dans une spirale de la mort

0
162

Vous devez toujours vous méfier des invitations dans la maison d'un étranger.

C'est le résultat d'une nouvelle recherche sur la sécurité qui a trouvé une vulnérabilité capable de verrouiller appareils iOS dans une spirale de gel, de plantage et de redémarrage si un utilisateur se connecte à un appareil Apple Home saboté.

La vulnérabilité, découverte par le chercheur en sécurité Trevor Spiniolas, peut être exploitée via l'API HomeKit d'Apple, l'interface logicielle qui permet à une application iOS de contrôler les appareils domestiques intelligents compatibles. Si un attaquant crée un appareil HomeKit avec un nom extrêmement long – environ 500 000 caractères – alors un appareil iOS qui s'y connecte ne répondra plus une fois qu'il lit le nom de l'appareil et entre dans un cycle de gel et de redémarrage qui ne peut être terminé qu'en essuyant et restaurer l'appareil iOS.

le moyen le plus probable de déclencher l'exploit serait via un réseau domestique usurpé

De plus, étant donné que les noms d'appareils HomeKit sont sauvegardés sur iCloud, la connexion au même compte iCloud avec un appareil restauré déclenchera à nouveau le crash, le cycle se poursuivant jusqu'à ce que le propriétaire de l'appareil désactive l'option de synchronisation des appareils domestiques depuis iCloud.< /p>

Bien qu'il soit possible qu'un attaquant puisse compromettre l'appareil HomeKit existant d'un utilisateur, la manière la plus probable de déclencher l'exploit est de créer un faux réseau domestique et de piéger un utilisateur dans rejoindre via un e-mail de phishing.

Pour se prémunir contre l'attaque, la principale précaution pour les utilisateurs d'iOS est de rejeter instantanément toute invitation à rejoindre un réseau domestique inconnu. De plus, les utilisateurs iOS qui utilisent actuellement des appareils domestiques intelligents peuvent se protéger en entrant dans le Centre de contrôle et en désactivant le paramètre « Afficher les commandes de la maison ». (Cela n'empêchera pas l'utilisation des appareils domestiques, mais limitera les informations accessibles via le centre de contrôle.)

Spiniolas a publié des détails sur son site Web personnel le 1er janvier 2022. Il a déjà été crédité par Apple pour avoir découvert une vulnérabilité dans macOS Mojave qui a été corrigée en 2019. La nouvelle vulnérabilité affecte la dernière version d'iOS, 15.2, et remonte au moins aussi loin comme 14.7, a déclaré Spiniolas.

Spiniolas a également accusé Apple d'avoir été lent à réagir à la divulgation initiale, qui a été faite des mois avant la sortie publique. Le chercheur a partagé des e-mails avec The Verge qui semblaient montrer un représentant d'Apple reconnaissant le problème et demandant à Spiniolas de s'abstenir de publier des détails jusqu'au début de 2022. L'article de blog détaillant les allégations de vulnérabilité selon lesquelles Apple a été informé du problème le 10 août 2021.< /p>

“Le manque de transparence d'Apple n'est pas seulement frustrant pour les chercheurs en sécurité qui travaillent souvent gratuitement, il représente un risque pour les millions de personnes qui utilisent les produits Apple dans leur vie de tous les jours en réduisant la responsabilité d'Apple en matière de sécurité », a écrit Spiniolas.

Apple n'avait pas répondu à une demande de commentaire au moment de la publication.