HomeKit d'Apple est bien pratique pour gérer, via un smartphone ou une tablette sous iOS, tout un tas de périphériques et d'accessoires pour maisons connectés (éclairages, caméras, prises, stations météo, capteur de qualité de l'air...). Problème : une vulnérabilité découverte par le chercheur en sécurité Trevor Spiniolas peut provoquer des instabilités du système d'exploitation iOS pouvant aller jusqu'à bloquer totalement des smartphones ou tablettes sur lesquelles cette application est installée. Les versions du système d'exploitation mobile d'Apple qui vont de la 14.7 à la 15.2 sont vulnérables à cette faille appelée doorLock mais le chercheur indique qu'elle pourrait aussi concerner toutes les versions d'iOS 14.
« Lorsque le nom d'un appareil HomeKit est remplacé par une grande chaîne de caractères (500 000 dans les tests), tout terminal sur lequel une version d'iOS affectée va charger cette chaîne qui sera interrompue même après le redémarrage », explique le chercheur dans un article. « Restaurer un terminal et vous reconnecter au compte iCloud lié à un périphérique HomeKit va déclencher à nouveau le bug ». A noter que cette faille ne peut être exploitée que par un utilisateur ayant un accès physique au terminal ou bien à une personne à qui les droits d'accès ont été donnés.
Un correctif attendu début 2022
Les conséquences varient selon que les matériels et objets connectés enrôlés sont reliés à HomeKit et sont activées - ou pas - dans le centre de contrôle (control center) d'Apple. Si c'est le cas « l'application Home deviendra complètement inutilisable et plantera au lancement. Le redémarrage ou la mise à jour du terminal ne résout pas le problème. Si le terminal est restauré mais se reconnecte ensuite à iCloud précédemment utilisé, l'application Home deviendra à nouveau inutilisable », poursuit le chercheur.
« Toutes les entrées du terminal sont ignorées ou ont un temps de réponse considérable, et l'accès pour communiquer sera très significativement altéré. Après environ une minute le processus backboardd sera fermé et le terminal ne répondra pas ». Un redémarrage ne suffira pas pour récupérer le fonctionnement normal de son smartphone ou de sa tablette. En attendant qu'Apple publie un correctif pour combler cette faiblesse - cela devrait être le cas début 2022 selon Trevor Spiniolas - les utilisateurs doivent d'abord se montrer vigilant sur les e-mails reçus relatifs aux services Apple et produits HomeKit. Et s'assurer qu'ils sont bien légitimes afin d'éviter tout risque de compromission.
Un PoC d'exploit sur GitHub à des fins de test
En cas de compromission, une marche à suivre a été indiquée pour récupérer les données de son compte iCloud : activation du mode DFU et configuration du terminal sans identification au compte iCloud. « Une fois la configuration terminée, connectez-vous à iCloud à partir des paramètres. Immédiatement après cela, désactivez le label « Home ». Le terminal et iCloud devraient maintenant fonctionner à nouveau sans accès aux données Home. A des fins de test, Trevor Spiniolas a par ailleurs publié sur GitHub un PoC d'exploit pour déclencher le bug par déni de service. Un programme à activer avec toutes les précautions car pouvant entrainer la perte de fonction des terminaux iOS et déclencher des redémarrages persistants.