Une faille du mode Perdu des Airtags peut rediriger vers un site malveillant
Alban Martin- Il y a 3 ans (Màj il y a 2 ans)
- 💬 Réagir
- 🔈 Écouter
La fonctionnalité qui permet à toute personne possédant un smartphone de scanner un AirTag perdu pour localiser les coordonnées du propriétaire peut être détournée et utilisée comme hameçonnage (phishing), selon un nouveau rapport partagé par KrebsOnSecurity.
Une vulnérabilité remontée auprès des équipes d'Apple
Lorsqu'un AirTag est défini en mode Perdu, il génère une URL vers https://found.apple.com et permet au propriétaire du traqueur d'Apple d'entrer un numéro de téléphone ou une adresse e-mail de contact. Toute personne qui scanne un AirTag est ensuite automatiquement dirigée vers l'URL avec les coordonnées du propriétaire, sans identifiant ni information personnelle requise pour consulter les informations fournies.
Selon KrebsOnSecurity, le mode Perdu n'empêche pas les utilisateurs d'injecter du code informatique arbitraire dans le champ du numéro de téléphone, de sorte qu'une personne qui scanne l'accessoire peut être redirigée vers une fausse page de connexion iCloud ou un autre site malveillant. Quelqu'un qui ne sait pas qu'aucune information personnelle n'est requise pour afficher les informations d'AirTag pourrait alors se faire avoir en fournissant des données personnelles.
Le défaut a été découvert par le consultant en sécurité Bobby Raunch, qui a déclaré que la vulnérabilité rendait les AirTags dangereux. "Je ne me souviens pas d'un autre cas où ce genre de petits dispositifs de suivi grand public à faible coût comme celui-ci pourraient être détournés", a-t-il déclaré.
Rauch a contacté Apple le 20 juin, et la société a mis plusieurs mois à enquêter. Apple a déclaré à Rauch jeudi dernier qu'elle comblera cette faille par le biais d'une mise à jour, et lui a demandé de ne pas en parler en public.
Apple n'a pas répondu à ses questions sur la question de savoir s'il recevrait un crédit ou s'il était qualifié pour le programme de primes aux bogues, il a donc décidé de partager des détails sur la vulnérabilité en raison du manque de communication d'Apple.
La semaine dernière, le chercheur en sécurité Denis Tokarev a rendu publiques plusieurs vulnérabilités iOS zero-day après qu'Apple ait ignoré ses rapports et n'ait pas réussi à résoudre les problèmes pendant plusieurs mois. Apple s'est depuis excusé, mais l'entreprise continue de recevoir des critiques pour son programme de Bug Bounty et la lenteur avec laquelle elle répond aux experts.
L'attaque GoFetch peut voler des clés de chiffrement sur Mac via une faille des puces Apple
La faille iLeakage peut exposer vos mots de passe dans Safari sur iOS et macOS
Mettez à jour les anciens iPhone vers iOS 15.7.4 pour corriger une faille importante
L'application Localiser de macOS 13.1 peut faire sonner les AirTags perdus
L'app Google "Passer à Android" peut transférer vos données vers Android 12
En 10 ans, Microsoft a perdu 17% d'utilisateurs Windows partis vers macOS
