Un chercheur en sécurité a montré que les AirTags peuvent être transformés en armes en injectant du code dans le champ du numéro de téléphone avant de le placer en mode Perdu et de le déposer à des endroits stratégiques. Apple a confirmé le résultat.

Lorsque quelqu’un trouve l’AirTag et le scanne, il sera redirigé vers le site Web du choix de l’attaquant, qui pourrait inclure une fausse connexion iCloud pour signaler la découverte…

Le consultant en sécurité basé à Boston, Bobby Rauch, a découvert la vulnérabilité en juin, a informé Apple et a déclaré qu’il accorderait 90 jours à la société avant de divulguer publiquement la faille. Cette période de 90 jours est une pratique courante dans le domaine de la sécurité, laissant suffisamment de temps à une entreprise pour publier un correctif tout en l’incitant à le faire rapidement.

Cependant, il a déclaré qu’Apple n’avait pas réussi à le réparer dans le délai de 90 jours et ne lui avait pas non plus dit quand il le ferait, s’il serait crédité et s’il aurait droit à une prime de bogue. En conséquence, il a maintenant divulgué la vulnérabilité.

Apple a été critiqué par la communauté infosec pour la façon dont il répond aux rapports de failles zero-day.

Lorsque quelqu’un trouve un AirTag attaché à un élément, il peut le scanner avec son iPhone ou son téléphone Android. Cela affichera un numéro de téléphone entré par le propriétaire et le dirigera également vers un lien personnalisé sur https://found.apple.com qui lui permettra d’alerter le propriétaire.

Cependant, Raunch a découvert qu’il était possible d’injecter du code XSS dans le champ du numéro de téléphone.

Un attaquant peut effectuer Stored XSS sur cette page https://found.apple.com, en injectant une payload malveillante dans le champ du numéro de téléphone Airtag « Lost Mode ». Une victime croira qu’on lui demande de se connecter à iCloud afin de pouvoir entrer en contact avec le propriétaire de l’Airtag, alors qu’en fait, l’attaquant l’a redirigé vers une page de piratage d’informations d’identification.

Cela entraînera la redirection du bon samaritain qui a scanné l’AirTag vers un autre site Web. Une attaque probable serait une attaque de phishing utilisant un clone du site authentique qui leur demanderait de se connecter avec leurs informations d’identification iCloud. Si le chercheur scanne l’étiquette avec son iPhone, il se peut qu’il n’y pense pas, se connecte et se fasse voler ses identifiants. Si le faux site Web les renvoie ensuite vers le vrai, ils peuvent ignorer complètement que tout ne va pas.

Rauch dit qu’un autre code pourrait également être injecté.

D’autres exploits XSS peuvent également être effectués, comme le détournement de jetons de session, le détournement de clics, etc. Un attaquant peut créer des Airtags armés et les laisser là, victimisant des personnes innocentes qui essaient simplement d’aider une personne à retrouver leur Airtag perdu.

La vidéo ci-dessous montre l’exploit en action. Une personne avertie en technologie remarquerait probablement que l’URL a changé, mais un véritable attaquant achèterait bien sûr un domaine d’apparence plausible afin qu’il semble moins suspect.

Ce type d’attaque pourrait facilement être ciblé contre des individus ou des entreprises spécifiques en le laissant tomber dans des endroits comme à côté de leur voiture dans un parking de travail ou à l’extérieur de leur domicile.

Apple dit qu’il prévoit un correctif, mais aucune date n’est connue, donc pour l’instant, cette vulnérabilité demeure. Si vous trouvez un AirTag, notez qu’aucune connexion n’est requise pour le signaler.

Via Krebsonsecurity

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Découvrez . sur YouTube pour plus d’actualités Apple :