Vulnérabilité Homekit Dos

Apple a déployé mercredi des mises à jour logicielles pour iOS et iPadOS afin de résoudre un problème persistant de déni de service (DoS) affectant le cadre de la maison intelligente HomeKit qui pourrait être potentiellement exploité pour lancer des attaques de type ransomware ciblant les appareils.

Le fabricant d’iPhone, dans sa notes de version pour iOS et iPadOS 15.2.1, l’a qualifié de « problème d’épuisement des ressources » qui pourrait être déclenché lors du traitement d’un nom d’accessoire HomeKit conçu de manière malveillante, ajoutant qu’il résolvait le bogue avec une validation améliorée.

Sauvegardes Automatiques Github

La vulnérabilité dite « doorLock », suivie sous le nom de CVE-2022-22588, affecte HomeKit, l’API logicielle permettant de connecter des appareils domestiques intelligents aux applications iOS.

S’il est exploité avec succès, les iPhones et iPads peuvent être envoyés dans une spirale de crash simplement en changeant le nom d’un appareil HomeKit en une chaîne de plus de 500 000 caractères et en incitant la cible à accepter une invitation à domicile malveillante.

Pire encore, étant donné que les noms d’appareils HomeKit sont sauvegardés sur iCloud, la reconnexion au compte iCloud affecté lié à l’appareil ‌HomeKit‌ peut redéclencher la condition DoS et faire entrer les appareils dans un cycle sans fin de plantage et de redémarrage qui ne peut être terminé. en les restaurant à leurs paramètres d’usine.

Publicité

Bien que la société ait tenté d’atténuer le problème en introduisant une limite sur la longueur du nom qu’une application ou l’utilisateur peut définir, il a été constaté qu’elle n’a rien fait pour empêcher un attaquant d’exécuter une version antérieure qui autorise des noms d’appareils trop longs, puis amener la victime à accepter une invitation malveillante via un e-mail de phishing.

Prévenir Les Violations De Données

Le correctif intervient des semaines après que le chercheur en sécurité Trevor Spiniolas, qui a découvert la vulnérabilité, a appelé l’entreprise pour ne pas avoir « pris l’affaire au sérieux » malgré l’avoir signalée en août 2021 et avoir laissé ses clients exposés à un problème assez grave.

« Le manque de transparence d’Apple n’est pas seulement frustrant pour les chercheurs en sécurité qui travaillent souvent gratuitement, il représente un risque pour les millions de personnes qui utilisent les produits Apple dans leur vie quotidienne en réduisant la responsabilité d’Apple en matière de sécurité », a déclaré Spiniolas. .


Rate this post
Publicité
Article précédent« Parmi nous », un pas de plus vers l’adaptation en anime ; L’adaptation de One-Shot Manga sort en avril
Article suivantMelania Trump salue Bitcoin malgré le fait que Donald ait affirmé que la crypto «très dangereuse» est une «arnaque» | Monde | Des nouvelles
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici