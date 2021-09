La semaine dernière, le chercheur en sécurité Denis Tokarev a rendu publiques plusieurs vulnérabilités iOS zero-day après qu'Apple ait ignoré ses rapports et n'ait pas réussi à résoudre les problèmes pendant plusieurs mois. Apple s'est depuis excusé , mais l'entreprise continue de recevoir des critiques pour son programme de Bug Bounty et la lenteur avec laquelle elle répond aux experts.

Rauch a contacté Apple le 20 juin, et la société a mis plusieurs mois à enquêter. Apple a déclaré à Rauch jeudi dernier qu'elle comblera cette faille par le biais d'une mise à jour, et lui a demandé de ne pas en parler en public.

Le défaut a été découvert par le consultant en sécurité Bobby Raunch, qui a déclaré que la vulnérabilité rendait les AirTags dangereux. "Je ne me souviens pas d'un autre cas où ce genre de petits dispositifs de suivi grand public à faible coût comme celui-ci pourraient être détournés", a-t-il déclaré.

Lorsqu'un AirTag est défini en mode Perdu , il génère une URL vers https://found.apple.com et permet au propriétaire du traqueur d'Apple d'entrer un numéro de téléphone ou une adresse e-mail de contact. Toute personne qui scanne un AirTag est ensuite automatiquement dirigée vers l'URL avec les coordonnées du propriétaire, sans identifiant ni information personnelle requise pour consulter les informations fournies.

La fonctionnalité qui permet à toute personne possédant un smartphone de scanner un AirTag perdu pour localiser les coordonnées du propriétaire peut être détournée et utilisée comme hameçonnage (phishing), selon un nouveau rapport partagé par KrebsOnSecurity .

