La faille AirTag pourrait permettre aux pirates de voler les mots de passe iCloud
Un chercheur en sécurité tire la sonnette d’alarme concernant une faille AirTag qui pourrait permettre aux pirates de diriger les utilisateurs sans méfiance vers des pages de phishing iCloud.
Le problème provient du mode perdu de l’AirTag, qui permet aux personnes qui trouvent un AirTag bloqué de prendre des mesures pour le trouver et le rendre à l’utilisateur. Lorsque le propriétaire active le mode Perdu, il peut afficher un numéro de téléphone ou une adresse sur un site Web dédié found.apple.com. Cependant, selon Bobby Rauch (de Krebs on Security), le mode perdu d’Apple « n’empêche pas actuellement les utilisateurs d’injecter du code informatique arbitraire dans leur champ de numéro de téléphone », ce qui pourrait conduire des récupérateurs d’AirTag sans méfiance vers un site de phishing.
La menace la plus courante consiste à ajouter du code qui envoie les utilisateurs vers un site de phishing parodique du site de connexion iCloud d’Apple et incite les gens à entrer leurs noms d’utilisateur et mots de passe. Le rapport compare la vulnérabilité à une « clé USB chargée de logiciels malveillants » que quelqu’un a trouvée et insérée dans son ordinateur :
Dans le langage moderne, le dispositif de suivi AirTag armé pourrait être utilisé pour rediriger Good Samaritan vers une page de phishing ou un site Web qui a tenté d’imposer des logiciels malveillants sur son appareil.
Rauch, qui a initialement découvert la vulnérabilité en juin, a déclaré qu' »il existe d’innombrables façons pour un attaquant de compromettre un utilisateur final qui a trouvé un AirTag manquant ». Apple Il y a quelques mois, mais affirme que les chercheurs de la société ne lui ont dit que la semaine dernière que la vulnérabilité serait corrigée dans une prochaine mise à jour.
L’AirTag d’Apple est un appareil de suivi Bluetooth qui se connecte à un autre appareil à l’aide d’un anneau ou d’un porte-clés. Il permet aux utilisateurs de suivre des appareils autres que l’application Find My d’Apple et d’identifier des éléments à l’aide de la technologie ultra-large bande.
Rauch a déclaré à Krebs on Security que le « manque de communication » d’Apple l’avait incité à rendre publiques ses découvertes.il a aussi dit Apple Demandez-lui de garder le secret.Un autre chercheur en sécurité prend la parole Apple Un bogue iOS zero-day a récemment été corrigé sans crédit pour lui. Apple Offre jusqu’à 1 million de dollars pour découvrir les bogues et les vulnérabilités de son programme de primes de sécurité.