Apple corrige le bug de doorLock qui peut désactiver les iPhones et iPads

Apple fixes doorLock bug that can disable iPhones and iPads

Apple a publié des mises à jour de sécurité pour remédier à un déni de service persistant (DoS) appelé doorLock qui désactiverait complètement les iPhones et iPads exécutant HomeKit sur iOS 14.7 et versions ultérieures.

HomeKit est un protocole et une infrastructure Apple qui permettent aux utilisateurs d’iOS et d’iPadOS de découvrir et de contrôler les appareils électroménagers intelligents sur leur réseau.

Comme l’entreprise l’a expliqué dans un avis de sécurité publié aujourd’hui, la vulnérabilité doorLock est identifiée comme CVE-2022-22588 plantera les appareils iOS et iPadOS affectés lors du traitement des noms d’accessoires HomeKit conçus de manière malveillante.

Apple a résolu ce grave problème d’épuisement des ressources dans iOS 15.2.1 et iPadOS 15.2.1 en ajoutant une validation d’entrée améliorée qui ne permet plus aux attaquants de désactiver les appareils vulnérables.

Les appareils qui ont reçu des mises à jour de sécurité aujourd’hui incluent l’iPhone 6s et versions ultérieures, l’iPad Pro (tous les modèles), l’iPad Air 2 et versions ultérieures, l’iPad 5e génération et versions ultérieures, l’iPad mini 4 et versions ultérieures et l’iPod touch (7e génération).

« Il y a quatre mois, j’ai découvert et signalé un grave bug de déni de service dans iOS qui persiste dans la dernière version. Il persiste lors des redémarrages et peut se déclencher après des restaurations dans certaines conditions », Trevor Spiniolas, le programmeur et « chercheur débutant en sécurité » qui repéré et signalé le bug.

« Toutes les exigences sont des paramètres par défaut. Lorsque quelqu’un configure son appareil iOS, tout est déjà en ordre pour que le bug fonctionne. S’il accepte une invitation à domicile malveillante à partir de là, son appareil cesse de fonctionner. »

YouTube video

Correction retardée depuis août

Selon Spiniolas, Apple connaît doorLock depuis août 2021, 2021, mais a poussé la mise à jour de sécurité à plusieurs reprises malgré la promesse répétée de la réparer.

« Je pense que ce bug est géré de manière inappropriée car il présente un risque sérieux pour les utilisateurs et de nombreux mois se sont écoulés sans qu’il y ait un correctif complet », a déclaré Spinolas.

« Le public doit être conscient de cette vulnérabilité et de la façon d’empêcher qu’elle ne soit exploitée, plutôt que d’être tenu dans l’ignorance. »

Le chercheur affirme que les attaquants devraient changer le nom d’un appareil HomeKit en de grandes chaînes pouvant aller jusqu’à 500 000 caractères et inciter la cible à accepter une invitation à la maison.

Une fois que la cible a rejoint le réseau HomeKit de l’attaquant, son appareil ne répond plus et finit par se bloquer.

Le seul moyen de se remettre d’une telle attaque serait de réinitialiser l’appareil désactivé en usine, étant donné qu’il se bloquera à nouveau après le redémarrage et la reconnexion au compte iCloud lié à l’appareil HomeKit.

Les correctifs zero-day ont également été retardés

En septembre, le développeur de logiciels Denis Tokarev a également abandonné le code d’exploit de preuve de concept pour trois failles iOS zero-day sur GitHub après qu’Apple ait retardé la mise à jour et ne l’ait pas crédité lors de la mise à jour d’une quatrième en juillet.

Un mois plus tard, avec la sortie d’iOS 15.0.2, Apple a corrigé l’une des vulnérabilités « jeux » du jour zéro signalées par Tokarev.

Cependant, Apple ne l’a pas reconnu ni crédité pour la découverte et lui a également demandé de se taire et de ne pas divulguer à d’autres que la société ne lui avait pas attribué le crédit du bug.

D’autres chercheurs en sécurité et chasseurs de bugs ont également vécu des expériences similaires en disant que ils ont été gardés dans l’obscurité pour des mois d’affilée avec Apple refusant de répondre à leurs messages.