Un chercheur en sécurité a publié des détails sur un bogue Apple HomeKit, qui déni de service peut causer dans les appareils iOS connectés et persiste après les redémarrages. Le chercheur a déclaré avoir signalé le bogue à Apple en août.
Chercheur en sécurité Trevor Spiniolas, qui a découvert le bogue, appelle la vulnérabilité Doorlock et publie une preuve de concept sur GitHub. Le bogue se trouve dans l'API HomeKit d'Apple pour les appareils domestiques intelligents. Le bogue se produit lorsque les attaquants configurent un appareil HomeKit avec un nom long, environ 500,000 XNUMX caractères. Les appareils iOS qui se connectent ensuite à cet appareil cessent de répondre, même après un redémarrage. Lorsque les utilisateurs restaurent un appareil iOS aux paramètres d'usine, mais se connectent ensuite à l'iCloud compte associé à l'appareil HomeKit, le bogue est redéclenché.
Spiniolas rapporte que toute application iOS ayant accès aux données Apple Home peut renommer les appareils HomeKit. Ces applications peuvent ainsi exploiter la vulnérabilité. Apple a introduit une limite sur la longueur des noms HomeKit dans iOS 15.1 et, selon le chercheur, peut avoir été dès 15.0, donc ce n'est plus possible sur les appareils iOS récemment mis à jour. Cependant, les appareils HomeKit qui ont déjà été renommés peuvent toujours "geler" les appareils iOS exécutant les versions iOS les plus récentes.
Le chercheur souligne qu'il est plus probable que la vulnérabilité soit exploitée en créant un réseau domestique et en y invitant des personnes via des e-mails de phishing. Spiniolas dit que les utilisateurs peuvent se défendre contre le bogue en ignorant les invitations à des réseaux domestiques inconnus. Les utilisateurs iOS qui utilisent eux-mêmes des appareils HomeKit peuvent se protéger en partie en désactivant "Afficher les commandes de la maison" dans Control Center.
Spiniolas a déclaré avoir signalé le bogue à Apple le 10 août. Selon le chercheur, Apple a indiqué qu'il proposerait un correctif "avant 2022", mais le mois dernier l'a ajusté au "début 2022", après quoi Spiniolas a déclaré à Apple qu'il rendra le bogue public début 2022. Le bogue n'a pas encore été résolu par Apple. Le chercheur a déjà été contacté au sujet d'un bogue dans macOS, qui a été corrigé en 2019.
Spiniolas pense qu'Apple a été trop lent à répondre à son rapport initial. Le chercheur partage des e-mails avec The Verge, dans lesquels un employé d'Apple a reconnu le bogue et a demandé à Spiniolas de ne pas publier de détails sur Doorlock avant le début de 2022. Apple n'a pas encore commenté publiquement la publication.
Apple a longtemps été critiqué pour son programme de primes aux bugs. Parmi les grandes entreprises technologiques, la politique de divulgation responsable d'Apple est la plus récente. Bien qu'Apple offre des récompenses relativement élevées, les pirates éthiques se plaignent depuis des années de la lenteur des correctifs et des notifications qui semblent disparaître dans des trous noirs. déjà écrit un article sur ces problèmes l'année dernière.