Les appareils iOS d’Apple entreraient dans un cycle de gel et de plantage qui les rendrait inutilisables. Selon les rapports, cela est dû à une vulnérabilité de HomeKit qui a été exposée par un chercheur en sécurité. Selon le chercheur, la vulnérabilité existe dans toutes les versions d’iOS, à partir d’iOS 14.7. Selon le rapport, les utilisateurs d’iPhone sous iOS 15 sont également affectés par cette vulnérabilité de déni de service. Apple serait au courant du problème et aurait promis aux utilisateurs un correctif avant 2022.
Alors que la faille doit encore être corrigée, le chercheur en sécurité Trevor Spiniolas a détaillé la portée de la vulnérabilité HomeKit d’Apple, qui a été initialement signalée en août 2021. Avec cela, les attaquants peuvent exploiter la faille et amener votre iPhone ou iPad dans un cycle de gel et de plantage en le connectant avec un appareil HomeKit dont le nom est trop long. Combien de temps ? Environ 500 000 caractères, a détaillé le chercheur. Selon lui, les appareils iOS ne répondent plus lorsqu’ils lisent le nom de l’appareil.
L’attaquant pourrait également déclencher la vulnérabilité en utilisant une app pour renommer un appareil HomeKit existant. Séparément, l’attaquant pourrait exploiter la vulnérabilité en envoyant une invitation à un nouveau périphérique HomeKit dont le nom est long.
Spiniolas indique qu’Apple a introduit une limite pour la définition du nom d’une application ou d’un utilisateur peut définir pour un appareil HomeKit dans iOS 15.1. Cela est censé aider à réduire l’impact dans une certaine mesure, car l’attaquant ne pouvait pas impacter les utilisateurs en déclenchant la vulnérabilité après avoir renommé l’un des appareils HomeKit connectés.
Cependant, le problème peut encore impacter les utilisateurs sur les versions iOS les plus récentes si un appareil HomeKit avec un nom extrêmement long est connecté via une invitation.
