[ad_1]
Un chercheur en sécurité a exposé une vulnérabilité dans la plate-forme HomeKit d’Apple qui pourrait rendre votre iPhone (ou toute autre personne ayant accès à votre configuration Apple Home) inutilisable. Le bogue a été signalé par le chercheur en sécurité Trevor Spiniolas, qui a détaillé dans un article de blog que le nom d’un appareil HomeKit modifié en quelque chose d’environ 500 000 caractères est la cause des problèmes…
Dans le billet de blog, Spiniolas dit que le bogue a été initialement signalé à Apple le 10 août et qu’il reste dans iOS 15.2. La société aurait promis de résoudre le problème dans une mise à jour de sécurité avant 2022, mais elle n’a pas tenu sa promesse. Apple dit maintenant qu’il réexaminera le problème « début 2022 », mais Spiniolas prend les choses en main pour divulguer publiquement les informations entre-temps.
Voici le synopsis du bug, selon le billet de blog de Spiniolas :
Lorsque le nom d’un appareil HomeKit est remplacé par une grande chaîne (500 000 caractères dans les tests), tout appareil avec une version iOS affectée installée qui charge la chaîne sera perturbé, même après le redémarrage. La restauration d’un appareil et la reconnexion au compte iCloud lié à l’appareil HomeKit déclencheront à nouveau le bogue.
Le chercheur en sécurité note que dans iOS 15.1, Apple a ajouté une limite à la longueur du nom qu’une application ou que l’utilisateur peut définir pour un accessoire domestique.
À l’aide de l’API HomeKit d’Apple, toute application iOS ayant accès aux données Home peut modifier les noms des appareils HomeKit. Dans iOS 15.1 (ou éventuellement 15.0), une limite sur la longueur du nom qu’une application ou l’utilisateur peut définir a été introduite. Sur les versions iOS antérieures à celles-ci, une application peut déclencher le bug puisque cette limite n’est pas présente. Si le bogue est déclenché sur une version d’iOS sans limite et que l’appareil partage les données HomeKit avec un appareil sur une version d’iOS avec la limite, les deux seront toujours affectés.
Notamment, le bogue affecte les utilisateurs même s’ils n’ont ajouté aucun appareil domestique. Cela se produirait si quelqu’un acceptait « une invitation à une maison contenant un appareil HomeKit avec une grande chaîne comme nom ». Cela est vrai même sur la dernière version d’iOS 15.2.
« Si un attaquant devait exploiter cette vulnérabilité, il serait de toute façon beaucoup plus susceptible d’utiliser des invitations Home plutôt qu’une application, car les invitations n’exigeraient pas que l’utilisateur possède réellement un appareil HomeKit », poursuit Spiniolas.
Le résultat
Alors, quel est le résultat si vous êtes touché par cela ? Cela se résume essentiellement à savoir si vous avez ou non des appareils domestiques activés dans Control Center. Comme le note Spiniolas, l’activation des appareils domestiques dans le centre de contrôle est le comportement par défaut lorsqu’un utilisateur a accès aux appareils domestiques.
Voici ce qui se passe si les appareils ne ne pas avoir les appareils domestiques activés dans le centre de contrôle :
L’application Home deviendra complètement inutilisable et plantera au lancement. Le redémarrage ou la mise à jour de l’appareil ne résout pas le problème. Si l’appareil est restauré mais se reconnecte à l’iCloud précédemment utilisé, l’application Home redeviendra inutilisable.
Et si vos appareils Est-ce que avoir les appareils domestiques activés dans le centre de contrôle :
iOS ne répondra plus. Toutes les entrées vers l’appareil sont ignorées ou considérablement retardées, et il sera incapable de communiquer de manière significative via USB. Après environ une minute, backboardd sera arrêté par le chien de garde et se rechargera, mais l’appareil ne répondra pas. Ce cycle se répétera indéfiniment avec un redémarrage occasionnel. Le redémarrage, cependant, ne résout pas le problème, pas plus que la mise à jour de l’appareil. Étant donné que la communication USB ne fonctionnera plus qu’à partir du mode Récupération ou DFU, à ce stade, l’utilisateur a effectivement perdu toutes les données locales car son appareil est inutilisable et ne peut pas être sauvegardé. De manière critique, si l’utilisateur restaure son appareil et se reconnecte à l’iCloud précédemment utilisé lié aux données, le bogue sera à nouveau déclenché avec exactement les mêmes effets qu’auparavant.
Voici une vidéo de ce problème en action :
Le point de vue de 9to5Mac
Ce bogue HomeKit est important pour toutes les raisons que Spiniolas a décrites dans son article de blog. Cependant, ce qui est peut-être encore plus inquiétant, c’est qu’Apple est au courant du problème depuis août et n’a pas encore déployé de correctif complet. Le système de rapport de bogues d’Apple a fait l’objet de critiques au fil des ans, et il est clair que toutes les bizarreries n’ont pas été résolues.
Vous pouvez lire le billet de blog complet avec plus de détails sur cette vulnérabilité ici. Encore une fois, Apple aurait promis à Spiniolas de corriger ce problème « début 2022 », mais aucun autre détail n’est disponible.
FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.
Découvrez 9to5Mac sur YouTube pour plus d’actualités Apple :
[ad_2]
Source link
