Le chercheur en sécurité Trevor Spiniolas a découvert un bug iOS 15.2 qui peut être exploité via l’API HomeKit et qu’il a baptisé “doorLock“.
Un pirate utiliserait l’interface de programmation de différentes apps pour modifier le nom de vos appareils HomeKit en un nom extrêmement long (jusqu’à 500 000 caractères), avant d’être sauvegardé dans le compte iCloud associé.
Spiniolas explique qu’un redémarrage, ou une restauration, de votre iOS ne sera d’aucune utilité tant que vous resterez connecté à ce même compte iCloud.
Il existe des solutions de contournement, mais la plus efficace serait de renommer les appareils HomeKit via l’API. Il est également recommandé de supprimer les raccourcis “Home” du centre de contrôle.
La réaction d’Apple face à ce dysfonctionnement d’iOS 15.2
Toujours selon Spiniolas, qui a signalé le bug en août 2021, Apple est au courant du problème. Il dit avoir informé la firme qu’il publierait les résultats de son enquête en janvier 2022 et critique son manque de transparence auprès de ses millions de consommateurs.
Il affirme aussi que ses corrections, qui devaient initialement être publiées en décembre, ont été reportées en ce début de l’année 2022.
Aussi, il prévient que le problème pourrait être la conséquence d’un ransomware. En plus de modifier les noms des appareils HomeKit, il mentionne l’envoi d’invitations à Home, regroupant des données malveillantes, à n’importe quel utilisateur de la marque.
D’après ses dires, un pirate pourrait même créer des adresses électroniques similaires à celles des services Apple pour vous inciter à accepter l’invitation, puis à payer en échange d’une assistance.
Auteur : Mathilde Vicente, Rédactrice
Mathilde est une touche-à-tout 2.0. Sa préférence ? Apple. Elle a plaisir à couvrir les nouvelles sorties de la marque à la Pomme et à vous dévoiler les capacités secrètes d’iOS, iPadOS et macOS.