Apple : La mise à jour iOS 15.2.1 corrige une faille de sécurité importante dans Homekit

Apple a publié hier une nouvelle mise à jour pour ses systèmes iOS (15.2.1) et iPadOS (15.2.1). Une mise à jour mineur, mais qui vise à notamment corriger une vulnérabilité importante découverte sous la solution domotique Apple HomeKit touchant tous les appareils mobiles de la marque qui utilisent la couche logicielle domotique d’Apple.

D’après le document publié par Apple sur cette mise à jour, ce correctif de sécurité résout un problème qui pourrait permettre à une personne malveillante d’utiliser cette brèche via une attaque de déni de service (DDos), empêchant alors les iPhone et iPad concernés de fonctionner.

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing a maliciously crafted HomeKit accessory name may cause a denial of service
Description: A resource exhaustion issue was addressed with improved input validation.
CVE-2022-22588 : Trevor Spiniolas (@TrevorSpiniolas)

Une vulnérabilité connue depuis plusieurs mois par Apple

Il s’agit d’une brèche de sécurité qui a été révélée le 3 janvier dernier par Trevor Spiniolas, chercheur en sécurité. Notez au si cette brèche a été révélée publiquement il y a une semaine, Apple serait au courant de cette dernière depuis aout 2021 comme le mentionne Bleeping Computer. Pourtant, malgré les alertes répétées, le chercheur affirme qu’Apple à préféré repousser le correctif jusqu’à maintenant.

Seul un reste de l’appareil pourrait corriger le problème si vous êtes touché. Et encore …

Appelée “doorLock“, la vulnérabilité serait exécutée en changeant le nom d’un appareil ‌HomeKit‌ par un nom de plus de 500 000 caractères.
Tenter de charger une si grande chaîne de caractères provoque un bug sur l’appareil mobile iOS, ouvrant ainsi la brèche de sécurité. Une réinitialisation complète et forcée est alors le seul moyen de récupérer l’iPhone ou l’iPad. La réinitialisation de l’appareil entraîne une perte de données à moins qu’une sauvegarde ne soit disponible sur votre PC ou mac via iTunes ou sur icloud. En outre, la reconnexion à un compte iCloud affecté lié au nom de l’appareil ‌HomeKit‌ cassé peut redéclencher le bug par la suite.

Si vous utilisez HomeKit à la maison pour piloter votre domotique ou vos objets connectés, il est donc vivement conseillé de faire la mise à jour de vos appareils au plus vite vers la version 15.2.1 de l’OS mobile.

Domo-blog a fait le choix de ne pas polluer votre lecture avec de la publicité. Vous trouverez cependant des liens affiliés vers les produits recommandés dans le contenu. Cela ne perturbe en rien votre experience de lecture et permet de financer le blog.
Vous pouvez également soutenir le blog en m'offrant un café sur Ko-Fi.

A propos de cet auteur

Voir tout les articles

Aurélien Brunet

Chef de projet informatique, anciennement informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données. Un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 pour sécuriser mon domicile.
Depuis, je teste, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog et mon podcast Domotique Chronique pour améliorer votre quotidien dans la maison connectée !