Getty Images
Apple a pris son temps pour corriger un bogue iOS qui permet aux malfaiteurs de désactiver complètement un appareil iOS à moins que la victime n’effectue une restauration d’usine et suive d’autres étapes fastidieuses, a déclaré un chercheur.
HomeKit est un protocole de communication conçu par Apple qui permet aux utilisateurs d’utiliser leurs iPhones ou iPads pour contrôler les lumières, les téléviseurs, les alarmes et d’autres appareils ménagers ou de bureau. Les utilisateurs peuvent configurer leurs appareils pour découvrir automatiquement les appareils sur le même réseau, et ils peuvent également partager ces paramètres avec d’autres personnes afin qu’ils puissent utiliser leurs propres iPhones ou iPads pour contrôler les appareils. La fonction de partage permet de permettre facilement à de nouvelles personnes, par exemple une gardienne ou une baby-sitter, de contrôler les appareils d’un utilisateur.
Trevor Spiniolas, un programmeur autoproclamé et « chercheur débutant en sécurité » dit récemment qu’un bogue dans la fonctionnalité permet à quelqu’un d’envoyer un appareil iOS dans une spirale de crash sans fin. Il peut être déclenché en utilisant un nom extrêmement long (jusqu’à 500 000 caractères) pour identifier l’un des appareils intelligents, puis en obligeant un utilisateur à accepter une invitation sur ce réseau.
Comme le montrent les vidéos de démonstration ci-dessous, l’appareil ne répond plus lentement jusqu’à ce qu’il se bloque complètement. Le redémarrage de l’appareil n’aide pas. Au moment où l’écran de connexion s’affiche, il est impossible de saisir une phrase secrète. Il ne reste plus qu’à effectuer une restauration d’usine. Et même dans ce cas, une fois l’appareil restauré, il cessera de répondre dès qu’il se reconnectera au compte iCloud de l’utilisateur lors de la configuration.
Vulnérabilité de déni de service HomeKit (configuration après restauration)
Vulnérabilité de déni de service HomeKit (via une invitation à domicile)
Spiniolas a déclaré qu’il avait informé Apple du bogue en août et avait reçu une réponse indiquant qu’il serait corrigé d’ici la fin de l’année. Plus tard, a déclaré le chercheur, Apple a déclaré que le correctif arriverait au début de 2022. C’est à ce moment-là qu’il a déclaré à la société qu’il prévoyait de divulguer le bogue publiquement.
« Je pense que ce bogue est géré de manière inappropriée car il présente un risque sérieux pour les utilisateurs et de nombreux mois se sont écoulés sans qu’il y ait un correctif complet », a-t-il écrit. « Le public doit être conscient de cette vulnérabilité et de la façon d’empêcher qu’elle ne soit exploitée, plutôt que d’être tenu dans l’ignorance. »
Le chercheur a déclaré qu’Apple avait récemment mis à jour iOS pour tenter d’atténuer le problème. Le correctif limite le nombre de caractères dans les noms de périphériques. Mais cela n’empêche en rien un attaquant d’exécuter une version antérieure qui autorise des noms de périphériques excessivement longs, puis de faire accepter une invitation à quelqu’un. Même si le récepteur exécute la dernière version d’iOS, l’appareil sera complètement verrouillé.
Ce bogue de déni de service est relativement apprivoisé par rapport au vulnérabilités sans clic qui permettent fréquemment aux attaquants de exécuter du code malveillant sur les iPhones. Mais si Apple veut encourager les utilisateurs à faire confiance à leurs appareils iOS, il devrait vraiment corriger ce bogue. Les représentants d’Apple n’ont pas répondu à un e-mail sollicitant des commentaires sur cet article.
Source link
