Apple : une dangereuse vulnérabilité affecte HomeKit

Un chercheur en sécurité a trouvé une vulnérabilité dans HomeKit qui permet une attaque de déni de service sur certains des appareils d'Apple.

Il a dévoilé publiquement la vulnérabilité après que la marque à la Pomme a décidé de repousser son correctif.

Une vulnérabilité qui freeze les appareils Apple

Trevor Spiniolas, un chercheur en sécurité, a récemment dévoilé une vulnérabilité pouvant permettre des attaques de déni de service sur les appareils Apple sous iOS 14.7 à iOS 15.2. Surnommée « doorLock », celle-ci touche Apple HomeKit, une interface qui permet aux utilisateurs de contrôler leurs appareils connectés à partir de leurs iPhone et iPad. Si l'un d'eux se connecte à un appareil HomeKit auquel a été donné un nom très long, 500 000 caractères d’après le chercheur, cela provoque un cycle de freeze et de redémarrage du téléphone ou de la tablette. Le seul moyen de refaire fonctionner son appareil est de le réinitialiser à l’état d’usine, et donc de supprimer ses données.

Mais, même après avoir restauré son téléphone, l’utilisateur peut continuer à être victime du bug. Les noms des appareils HomeKit sont enregistrés dans iCloud, et si l’utilisateur se reconnecte au service pour récupérer ses données après le reset, son appareil est de nouveau sensible au bug et redevient inutilisable.

D’après le chercheur, un attaquant qui chercherait à exploiter ce bug aurait deux façons de le faire. La première serait à l’aide d’une application malveillante qu’il aurait créée. Comme expliqué par Spiniolas, grâce à l’API HomeKit d’Apple, toutes les applications qui ont accès aux données de l’application Maison peuvent modifier le nom des appareils HomeKit connectés à celle-ci, et donc leur donner un nom qui déclencherait le bug. La deuxième façon, et la plus simple vu qu’elle ne requiert pas que la victime possède des appareils connectés, se ferait à l’aide d’une invitation. Si un attaquant invite des victimes à se connecter à sa Maison sur laquelle est présent un appareil HomeKit avec un nom très long, une fois cette invitation acceptée, le bug arrive sur l’appareil de la victime.

La réponse d'Apple insuffisante pour le chercheur

Pour Trevor Spiniolas, « ce problème rend les ransomwares viables pour iOS ». Il explique qu’un attaquant pourrait par exemple se faire passer pour Apple ou un service lié aux produits HomeKit pour piéger des utilisateurs, et les pousser à cliquer sur un lien ou à accepter une invitation envoyée par e-mail. Il pourrait leur demander en retour une rançon, en proposant de modifier le nom de son appareil HomeKit pour débloquer les téléphones en échange d’un paiement.

Spiniolas a indiqué avoir prévenu Apple de l’existence du bug le 10 août 2021. Dans les versions 15.1 d’iOS, un fix partiel a été introduit et limite la taille des noms que l'on peut donner aux appareils HomeKit. Mais ce correctif est insuffisant pour le chercheur, puisqu’il ne corrige pas le problème principal, à savoir la manière dont iOS prend en compte le nom des appareils HomeKit. Et surtout, il ne corrige pas l’exploitation du bug à l’aide des invitations, les appareils sous iOS 15.2 pouvant toujours être piégés. Comme Apple n’a pas corrigé le bug avant 2022 comme promis initialement et a repoussé le correctif à « début 2022 », le chercheur a donc décidé de le rendre public pour que les utilisateurs puissent se protéger.

La façon la plus simple de se prémunir du bug est de ne pas accepter d’invitation à une Maison provenant de personnes inconnues. Si vous êtes tout de même victime du bug, il est possible de retrouver l’accès à votre compte iCloud de la manière suivante :

• Restaurer le téléphone à partir du mode recovery ou DFU ;
• Faire la configuration normale de l'appareil sans se reconnecter à son compte iCloud ;
• Une fois la configuration de base terminée, se connecter à iCloud à partir des paramètres, puis décocher immédiatement la case « Commandes de Maison ».

Sources : The Verge, Blog de Trevor Spiniolas