Un bug HomeKit qui rend l'iPhone inutilisable
- 👨 Alexandre Godard
- Il y a 3 ans (Màj il y a 3 ans)
- 💬 3 coms
Un souci qu'Apple tarde à corriger
Un chercheur en sécurité du nom de Trevor Spiniolas a découvert une faille au niveau de l'application HomeKit d'Apple qui pourrait rendre votre iPhone inutilisable. Une sorte de bug qu'il a immédiatement signalé auprès d'Apple et qu'il a détaillé dans un article de blog.
Seul petit couac, le chercheur indique que cela fait déjà plus de quatre mois (le 10 août dernier) qu'il a prévenu Apple mais que le problème est toujours présent sur iOS 15.2 à date du 3 janvier 2022. La pomme avait promis de s'en occuper avant la fin d'année 2021 mais facile de constater qu'il n'en est rien.
C'est d'ailleurs pour cette raison que Spiniolas a pris les devants et décidé d'en parler publiquement, en espérant que cela fasse avancer le problème plus rapidement. En attendant, voici quelques explications à propos de cette potentielle vulnérabilité.
Le problème selon Spiniolas
Lorsque le nom d'un appareil HomeKit est remplacé par une grande chaîne (500 000 caractères dans les tests), tout appareil avec une version iOS affectée installée qui charge la chaîne sera perturbé, même après le redémarrage.
La restauration d'un appareil et la reconnexion au compte iCloud lié à l'appareil HomeKit déclencheront à nouveau le bogue. Deux scénarios principaux peuvent se produire par la suite, comme indiqué dans la section « Effets » de ce document.
La solution selon Spiniolas
Une méthode fiable pour récupérer l'accès aux données locales après le déclenchement du bogue n'a pas été identifiée. L'accès normal au compte iCloud lié aux données peut être récupéré en suivant les étapes de la page suivante (Testé sur iOS 15.2).
- Restaurer le périphérique affecté à partir du mode de récupération ou DFU
- Configurez l'appareil normalement, mais ne vous reconnectez PAS au compte iCloud
- Une fois la configuration terminée, connectez-vous à iCloud à partir des paramètres. Immédiatement après cela, désactivez le commutateur intitulé « Accueil ». L'appareil et iCloud devraient maintenant fonctionner à nouveau sans accès aux données de la maison.
Conclusion
Ce bug présente un risque important pour les données des utilisateurs d'iOS, mais le public peut se protéger du pire de ses effets en désactivant les appareils domestiques dans le centre de contrôle afin de protéger les données locales.
En ce qui concerne la sensibilisation d'Apple au problème, j'ai trouvé leur réponse insuffisante. Bien qu'ils aient confirmé le problème de sécurité et que je les ai exhortés à plusieurs reprises au cours des quatre derniers mois à prendre la question au sérieux, peu de choses ont été faites.
Les mises à jour sur le sujet étaient rares et comportaient exceptionnellement peu de détails, même si je les demandais fréquemment. Le manque de transparence d'Apple n'est pas seulement frustrant pour les chercheurs en sécurité qui travaillent souvent gratuitement, il représente un risque pour les millions de personnes qui utilisent les produits Apple dans leur vie quotidienne en réduisant la responsabilité d'Apple en matière de sécurité.