Devriez-vous vous inquiéter des hacks AirTag? Voici ce que vous devez savoir

Au cours des deux semaines qui ont suivi l’arrivée d’AirTag sur le marché, nous avons vu autant d’histoires décrire comment les chercheurs en sécurité ont piraté le tracker d’objets d’Apple. Alors pourquoi est-ce? Quelque chose s’est mal passé lorsque Apple a conçu des fonctionnalités de sécurité pour les AirTags, et devriez-vous vous en inquiéter? Abordons ces questions.

Vous vous inquiétez ou pas?

Lire des histoires sur le piratage des AirTags n’inspire pas immédiatement confiance, en particulier pour un produit destiné à suivre des éléments. Que vous fassiez ou non confiance à Apple pour protéger les AirTags des fêtes malveillantes est un choix personnel. Dans les deux histoires de sécurité que nous avons vues jusqu’à présent, il est important de comprendre les détails de ce qui s’est passé et comment.

Dans le premier scénario, un chercheur en sécurité a pu modifier l’URL NFC sur un AirTag jailbreaké. Décrivons ce que cela signifie.

Comment ça fonctionne

Jailbreaker un AirTag signifie que le chercheur en sécurité professionnel a pu trouver un exploit dans le firmware de l’AirTag qui lui a permis de modifier son fonctionnement. Les AirTags que vous achetez neufs dans la boîte ne seront certainement pas «jailbreakés», et nous pouvons nous attendre à ce qu’Apple corrige les vulnérabilités connues, tout comme il le fait sur iPhone.

Modifier l’URL NFC semble terriblement inquiétant pour les non-initiés, mais c’est très différent de pirater un AirTag pour suivre quelqu’un sans leur permission.

NFC fait référence à la communication en champ proche, la méthode utilisée par AirTag pour communiquer avec les téléphones iPhone et Android à quelques centimètres l’un de l’autre. L’URL, ou localisateur de ressources uniforme, n’a rien à voir avec votre emplacement réel. L’URL fait référence à l’emplacement en ligne (serveur d’Apple) du message envoyé par AirTag lorsque l’appareil est en mode perdu.

Le risque ici n’est pas que quelqu’un puisse jailbreaker un AirTag et l’utiliser pour suivre votre position sans votre permission. Au contraire, le risque est qu’un AirTag jailbreaké puisse être utilisé dans un stratagème de phishing pour vous inciter à partager des informations personnelles avec une partie malveillante.

Utiliser le courrier électronique est plus risqué

Ce piratage est similaire au fonctionnement des schémas de phishing sur le Web et par courrier électronique, mais il est très peu probable de rencontrer un AirTag jailbreaké avec une URL personnalisée à l’état sauvage. Cela nécessiterait que quelqu’un jailbreaker un AirTag, sache comment modifier l’URL NFC et laisse l’AirTag dans un emplacement détectable comme appât.

Espérons que cet exploit spécifique est corrigé avec une future mise à jour du micrologiciel pour AirTag, mais pour l’instant, l’utilisation du courrier électronique et du Web présente un plus grand risque de phishing avec une URL trompeuse que de trouver un AirTag pourri dans la nature. Vous pouvez également savoir à quoi vous attendre lorsque vous trouvez un AirTag en mode perdu ici.

Spam AirTag

La deuxième démonstration de la façon dont un AirTag peut être exploité est encore moins sinistre, et aucun des deux scénarios n’implique un suivi de localisation sans autorisation.

AirTag est conçu pour communiquer des données GPS cryptées avec les iPhones à proximité via le réseau Find My d’Apple. C’est ce qui permet aux utilisateurs d’iPhone de localiser les éléments manquants avec l’aide d’autres utilisateurs d’iPhone.

Ce qu’un chercheur en sécurité a découvert, c’est que les données GPS peuvent être remplacées par d’autres bits de données et diffusées sur les iPhones à proximité. Bien qu’il y ait quelque chose de terrifiant à ce sujet, on ne sait pas dans quelle mesure cette méthode pourrait être réellement un risque pour la sécurité.

Voici comment mon collègue Benjamin Mayo décrit l’exploit et ses risques:

Cette dernière recherche étend le protocole à la transmission de données arbitraires plutôt qu’à la simple mise en miroir des mises à jour de localisation. […]

Dans la démo, de courtes chaînes de texte sont renvoyées via le réseau Find My vers un Mac domestique. […]

Il n’y a pas beaucoup de chance qu’un faux AirTag sans scrupules épuise le plafond de données de quelqu’un, car la taille des messages Find My est très petite, mesurée en kilo-octets.

Pour l’instant, ce «hack» est essentiellement un exemple de rupture de la fonctionnalité d’un AirTag et de ne pas l’exploiter pour nuire à autrui. Le risque réel est similaire à celui de recevoir un SMS ou un e-mail d’un mauvais numéro ou expéditeur, sauf que vous ne voyez pas réellement le message.

AirTag et confidentialité

Alors, Apple a-t-il manqué quelque chose lors de la conception de la sécurité des trackers d’articles AirTag? Pas exactement. Voici comment Apple décrit la confidentialité avec AirTag:

Vous seul pouvez voir où se trouve votre AirTag. Vos données de localisation et votre historique ne sont jamais stockés sur l’AirTag lui-même. Les appareils qui relaient l’emplacement de votre AirTag restent également anonymes, et ces données de localisation sont cryptées à chaque étape du processus. Ainsi, même Apple ne connaît pas l’emplacement de votre AirTag ou l’identité de l’appareil qui aide à le trouver.

La réalité est qu’aucun logiciel n’est parfait et que tous les ordinateurs présentent des risques associés à des failles de sécurité régulièrement découvertes et réparées. Apple et d’autres fabricants de plates-formes sécurisent constamment les systèmes d’exploitation et les logiciels avec des correctifs pour les exploits au fur et à mesure qu’ils sont découverts. Le firmware qui alimente un AirTag est cependant beaucoup moins ambitieux que le logiciel qui alimente votre iPhone, donc la possibilité d’exploits est beaucoup plus limitée.

Nous mettrons à jour notre couverture si l’un ou l’autre de ces «hacks» découverts par les chercheurs s’avère être des risques plus importants ou si nous apprenons que le micrologiciel AirTag les a rendus obsolètes. Pour l’instant, soyez assuré que «AirTag piraté» ne signifie certainement pas que quelqu’un d’autre peut suivre votre position ou vos articles sans votre permission. En savoir plus sur la sécurité d’Apple ici.

FTC: Nous utilisons des liens d’affiliation automatiques générant des revenus. Suite.

Consultez . sur YouTube pour plus d’informations sur Apple: