Un chercheur en sécurité a signalé un bug de l’iOS 15.2 qui peut rendre un iPhone complètement inutile même après une restauration. Apple est apparemment au courant du bug et avait promis une solution début 2022. Trevor Spiniolas a découvert le bug qui peut être exploité via l’API HomeKit. En effet, en modifiant le nom d’un périphérique HomeKit par une très grande chaîne de caractères (le nom du test avait 500 000 caractères), l’iPhone associé a tendance à planter, définitivement.
Le bug utiliserait l’API pour changer les noms des appareils HomeKit d’un utilisateur, qui sera à son tour sauvegardé sur le compte iCloud associé. Si l’utilisateur a activé les appareils domestiques dans Control Center, l’iPhone ne répondra plus. Spiniolas dit que le redémarrage ou la restauration de l’appareil n’aide pas tant que l’utilisateur continue de se connecter au même compte iCloud. Il existe des solutions de contournement, mais la seule solution serait de renommer les appareils HomeKit à l’aide de l’API.
Manque de transparence d’Apple
Apple est conscient du problème, selon Spiniolas, qui a signalé le bug en août. Il dit avoir informé Apple qu’il publierait les résultats de ses découvertes en janvier 2022 et critique le « manque de transparence » d’Apple qui « constitue un risque pour les millions de personnes qui utilisent les produits Apple dans leur vie quotidienne en réduisant la responsabilité en matière de sécurité ». Il dit qu’Apple a retardé le correctif, qui devait initialement arriver en décembre, jusqu’au début de 2022.
Par ailleurs, Spiniolas prévient que le problème soulève la possibilité d’un ransomware. En plus de changer les noms des appareils HomeKit d’un utilisateur, il brosse également une image où un attaquant « pourrait également envoyer des invitations à une maison contenant les données malveillantes aux utilisateurs sur l’une des versions iOS décrites, même s’ils n’ont pas d’appareils HomeKit ».
Comment résoudre le problème?
Il prétend qu’un individu malveillant « pourrait utiliser des adresses e-mail ressemblant à des services Apple ou à des produits HomeKit pour inciter les utilisateurs moins avertis en technologie (ou même ceux qui sont curieux) à accepter l’invitation, puis exiger un paiement par e-mail en échange de la résolution du problème ». Pour résoudre le problème, Spiniolas explique qu’il faut restaurer l’iPhone sans se connecter au même compte iCloud, puis après la configuration désactiver immédiatement dans les paramètres « Maison ». Il recommande également de supprimer les raccourcis d’accueil du centre de contrôle.
