Passer au contenu

Une faille permet de transformer un Apple AirTag en piège à phishing

Un chercheur a trouvé un moyen d’insérer du code malveillant en lieu et place du numéro de contact que cet accessoire peut diffuser à celui qui le trouve.

Version high-tech du porte-clés siffleur, l’Apple AirTag permet de retrouver ses objets personnels grâce aux technologies Bluetooth et Ultrawide Band. Et s’il est totalement perdu dans la nature, mais qu’une âme charitable tombe dessus, il peut même transmettre un numéro de contact. Malheureusement, cette fonctionnalité fort pratique peut être transformée en piège, comme vient de le révéler le chercheur en sécurité Bobby Rauch.

Lorsqu’on paramètre le champ du numéro de contact, la saisie de cette information se fait sur l’iPhone qui la transmet ensuite à l’AirTag. L’utilisateur n’a accès qu’au clavier numérique pour remplir ce champ. Mais Bobby Rauch a trouvé un moyen pour intercepter et manipuler cette communication entre l’iPhone et l’AirTag, ce qui lui permet de remplacer le numéro par un code malveillant.

A découvrir aussi en vidéo :

 

Au moment où le bon samaritain va scanner l’AirTag qu’il a trouvé, ce malware va provoquer sur son iPhone l’ouverture d’une fausse page de connexion iCloud. Si la personne n’est pas très vigilante, elle va rentrer ses identifiants qui vont immédiatement atterrir sur l’ordinateur du pirate, comme on peut le voir dans les vidéos de démonstration que le chercheur en sécurité a publiées dans sa note de blog. Il ne s’agit là que d’un exemple. D’autres attaques peuvent être réalisées, comme le vol de token d’authentification ou le détournement de clic (« clickjacking »).

Apple a évidemment été alerté par cette faille de sécurité, mais n’a pas encore diffusé de patch. Ce sera fait prochainement à l’occasion d’une mise à jour. Bobby Rauch a quand même publié les détails de sa découverte, car il estime avoir attendu suffisamment de temps, en occurrence 90 jours. Par ailleurs, Apple ne lui a proposé aucune récompense pour son travail. Il ne voit donc pas pourquoi il ferait des efforts. En attendant, si vous trouvez un AirTag, soyez méfiants.

Source: Note de blog

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN