Passer au contenu

Une faille dans Apple HomeKit peut faire planter les iPhone

Une mauvaise gestion des noms des objets connectés permet de geler le système d’exploitation. Aucun correctif n’est disponible pour l’instant.

Le chercheur en sécurité Trevor Spiniolas vient de révéler l’existence d’une faille dans le logiciel de domotique HomeKit d’Apple, permettant de provoquer un déni de service sur n’importe quel terminal sous iOS, y compris pour la version actuelle 15.2. Le bug se trouve au niveau de la gestion des noms des objets connectés à un réseau HomeKit. Si l’un de ces noms est trop long (plus de 500 000 caractères par exemple), n’importe quel terminal iOS qui se connecte à ce réseau va planter, comme on peut le voir dans cette vidéo.

S'abonner à 01net

Le scénario d’attaque le plus probable serait alors qu’un pirate crée un tel réseau HomeKit, puis invite une personne à le rejoindre. Si la personne accepte, l’appareil va télécharger les données de ce réseau HomeKit au travers d’iCloud, puis le système d’exploitation se figera. La seule manière de sortir de cette mauvaise passe est de restaurer l’appareil sans se connecter à iCloud. Quand l’appareil est de nouveau opérationnel, on peut se connecter à iCloud à condition de désactiver immédiatement l’accès à HomeKit, pour éviter le téléchargement des données malveillantes.

Évidemment, cette solution n’est pas très satisfaisante, car on perd la fonctionnalité HomeKit. Ceux qui ont des compétences en développement Xcode peuvent aller plus loin et utiliser le code d’exploitation que Trevor Spiniolas a publié sur GitHub pour renommer tous les noms d’objets du réseau HomeKit malveillant. Malheureusement, il n’existe aucune méthode plus simple pour résoudre le problème.

A découvrir aussi en vidéo :

 

Apple a été alerté sur ce problème le 10 août 2021. La firme a indiqué qu’elle fournirait un correctif « début 2022 », mais le chercheur estime que cette faille mériterait plus d’attention. « Je pense que ce bug permet de créer des ransomwares sur iOS, ce qui est incroyablement important », souligne-t-il dans une note de blog. Compte tenu de ce risque, M. Spiniolas a estimé qu’il était mieux d’informer le public dès à présent, plutôt que d’attendre la publication d’un patch.

Source: Note de blog

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Des chatbots spécialisés dans le droit, pour conseiller les particuliers et les professionnels.
Le gouvernement lance deux missions pour mieux rémunérer les artistes face à l’IA
Ssd Mx500
À prix ridicule, ce SSD Crucial MX500 est parfait pour mettre à jour les vieilles config (-41%)
Manette Lenovo Legion Go
Test Lenovo Legion Go : la console portable qui voulait être un PC, pour le meilleur et pour le pire
Congrès américain
Les États-Unis prolongent finalement de 2 ans la loi FISA : les services secrets américains pourront continuer à nous espionner jusqu’en 2026
Snapdraon X Elite
Qualcomm fixe la date le lancement de la Snapdragon X
Samsung Galaxy A34 carte SIM
Comment changer de forfait et d’opérateur sans changer de numéro de mobile ?
Elon Musk Cybertruck
Tesla rappelle les 4 000 Cybertruck en circulation pour un problème d’accélération accidentelle
Bose Smart Soundbar 300
Proposée à -45% sur Amazon, cette barre de son BOSE est une folie
Top téléchargements