Le chercheur en sécurité Trevor Spiniolas a trouvé une vulnérabilité très sérieuse qui touche HomeKit dans iOS 14.7 à iOS 15.2. Il s’agit de la plateforme domotique d’Apple, qui connecte les produits compatibles (thermostats, ampoules, stores…) à l’iPhone et à l’iPad dans l’application Maison. Lorsque le nom d’un ces appareils est très long (500.000 caractères dans ses essais), le smartphone ou la tablette plante.
Apple sans réponse
Et puisque le nom de l’appareil domotique fautif est enregistré dans le compte iCloud de l’utilisateur, ce sont tous les terminaux iOS connectés au même compte qui vont crasher ! Le bug peut même se transformer en vecteur d’attaque, il est en effet possible de partager avec un autre utilisateur l’accès à un domicile qui contiendrait le fameux appareil véreux.
Spiniolas explique qu’il est possible de se prémunir contre le gros des effets néfastes du bug en désactivant les suggestions Maison qui s’affichent dans le centre de contrôle d’iOS. Cela évitera les lenteurs du système, qui finiront par faire planter l’iPhone et à le redémarrer de force, et ainsi de suite.
Pour se débarrasser du bug, on peut aussi restaurer le smartphone ou la tablette mais attention, sans saisir le compte Apple lors de la configuration. Une fois le processus terminé, il faut se rendre dans les réglages, activer le compte Apple tout en désactivant l’accès Maison.
Mais le mieux, ce serait qu’Apple résolve le bug. Malheureusement, le constructeur est au courant depuis l’été dernier et n’a pas respecté sa promesse d’un correctif avant la fin 2021. C’est pourquoi Trevor Spiniolas a publié publiquement sa découverte, afin de forcer la main à Apple. Une solution radicale, mais le chercheur estime que le constructeur prend trop de temps.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.