Le nouveau 30 $ Airtag dispositif de repérage de Pomme a une fonctionnalité qui permet à quiconque trouve l’une de ces minuscules balises de localisation de la scanner avec un téléphone portable et de découvrir le numéro de téléphone de son propriétaire si l’AirTag a été réglé sur le mode perdu. Mais selon de nouvelles recherches, cette même fonctionnalité peut être utilisée de manière abusive pour rediriger le Bon Samaritain vers une page de phishing iCloud – ou vers tout autre site Web malveillant.
Le « mode perdu » de l’AirTag permet aux utilisateurs d’alerter Apple lorsqu’un AirTag est manquant. Le définir sur le mode Perdu génère une URL unique sur https://found.apple.com et permet à l’utilisateur d’entrer un message personnel et un numéro de téléphone de contact. Quiconque trouve l’AirTag et le scanne avec un téléphone Apple ou Android verra immédiatement cette URL Apple unique avec le message du propriétaire.
Une fois scanné, un AirTag en mode perdu présentera un court message demandant au chercheur d’appeler le propriétaire au numéro de téléphone spécifié. Ces informations apparaissent sans demander au chercheur de se connecter ou de fournir des informations personnelles. Mais votre bon samaritain moyen ne le sait peut-être pas.
C’est important car le mode perdu d’Apple n’empêche pas actuellement les utilisateurs d’injecter du code informatique arbitraire dans son champ de numéro de téléphone, tel qu’un code qui amène l’appareil du Bon Samaritain à visiter une fausse page de connexion Apple iCloud.
Un exemple de message « Mode perdu ». Image : moyen @bobbyrsec
La vulnérabilité a été découverte et signalée à Apple par Bobby Rauch, consultant en sécurité et testeur d’intrusion basé à Boston. Rauch a déclaré à BreachTrace que la faiblesse d’AirTag rend les appareils bon marché et peut-être des chevaux de Troie physiques très efficaces.
« Je ne me souviens pas d’un autre cas où ce genre de petits dispositifs de suivi de qualité grand public à un faible coût comme celui-ci pourraient être transformés en armes », a déclaré Rauch.
Considérez le scénario où un attaquant dépose une clé USB chargée de logiciels malveillants dans le parking d’une entreprise qu’il souhaite pirater. Il y a de fortes chances que tôt ou tard, un employé prenne cette ventouse et la branche sur un ordinateur – juste pour voir ce qu’il y a dessus (le lecteur pourrait même être étiqueté quelque chose d’alléchant, comme « Salaires des employés »).
Si cela ressemble à un scénario d’un film de James Bond, vous n’êtes pas loin du compte. Une clé USB contenant des logiciels malveillants est très probablement la raison pour laquelle les cyber-pirates américains et israéliens ont obtenu le tristement célèbre Ver Stuxnet dans le réseau interne isolé qui alimentait les installations d’enrichissement nucléaire de l’Iran il y a dix ans. En 2008, une cyberattaque décrit à l’époque, car « la pire violation des ordinateurs militaires américains de l’histoire » a été attribuée à une clé USB laissée dans le parking d’une installation du département américain de la Défense.
Dans le récit moderne de cette connerie, un dispositif de suivi AirTag armé pourrait être utilisé pour rediriger le Bon Samaritain vers une page de phishing ou vers un site Web qui tente d’imposer un logiciel malveillant sur son appareil.
Rauch a contacté Apple à propos du bogue le 20 juin, mais pendant trois mois, lorsqu’il s’est renseigné à ce sujet, la société a simplement répondu qu’elle enquêtait toujours. Jeudi dernier, la société a envoyé à Rauch un e-mail de suivi indiquant qu’elle prévoyait de remédier à la faiblesse dans une prochaine mise à jour, et en attendant, cela lui dérangerait-il de ne pas en parler publiquement ?
Rauch a déclaré qu’Apple n’avait jamais reconnu les questions de base qu’il avait posées sur le bogue, par exemple s’ils avaient un calendrier pour le corriger et, dans l’affirmative, s’ils prévoyaient de le créditer dans l’avis de sécurité qui l’accompagne. Ou si sa soumission serait éligible au programme «bug bounty» d’Apple, qui promet des récompenses financières allant jusqu’à 1 million de dollars aux chercheurs en sécurité qui signalent des bogues de sécurité dans les produits Apple.
Rauch a déclaré qu’il avait signalé de nombreuses vulnérabilités logicielles à d’autres fournisseurs au fil des ans, et que le manque de communication d’Apple l’avait incité à rendre publique ses découvertes – même si Apple dit que rester silencieux sur un bogue jusqu’à ce qu’il soit corrigé, c’est ainsi que les chercheurs se qualifient pour être reconnus dans les avis de sécurité.
« Je leur ai dit: » Je suis prêt à travailler avec vous si vous pouvez fournir des détails sur le moment où vous prévoyez de remédier à cela, et s’il y aurait une reconnaissance ou un paiement de prime de bogue « », a déclaré Rauch, notant qu’il a dit à Apple. il prévoyait de publier ses conclusions dans les 90 jours suivant leur notification. « Leur réponse a été essentiellement: » Nous apprécierions que vous ne divulguiez pas cela. « »
L’expérience de Rauch fait écho à celle d’autres chercheurs interrogés dans une récente Poste de Washington article à quel point il peut être amusant de signaler des vulnérabilités de sécurité à Apple, une entreprise notoirement secrète. Les plaintes courantes étaient qu’Apple tardait à corriger les bogues et ne payait pas toujours ou ne reconnaissait pas publiquement les pirates pour leurs rapports, et que les chercheurs recevaient souvent peu ou pas de commentaires de la société.
Le risque, bien sûr, est que certains chercheurs décident qu’il est moins compliqué de vendre leurs exploits à des courtiers en vulnérabilité ou sur le darknet, qui paient souvent beaucoup plus que les primes de bogues.
Il existe également un risque que les chercheurs frustrés publient simplement leurs découvertes en ligne pour que tout le monde puisse les voir et les exploiter, que le fournisseur ait publié ou non un correctif. Plus tôt cette semaine, un chercheur en sécurité qui passe par la poignée « illusionofchaos » a publié des articles sur trois vulnérabilités zero-day dans le système d’exploitation mobile iOS d’Apple – apparemment par frustration d’avoir essayé de travailler avec le programme de primes de bogues d’Apple.
Ars Technica rapports que le 19 juillet, Apple a corrigé un bogue signalé par llusionofchaos le 29 avril, mais qu’Apple a omis de le créditer dans son avis de sécurité.
« La frustration face à cet échec d’Apple à tenir ses propres promesses a conduit illusionofchaos à menacer d’abord, puis à abandonner publiquement les trois jours zéro de cette semaine », a écrit Jim Salter pour Ars. « Selon les propres mots d’illusionofchaos : « Il y a dix jours, j’ai demandé une explication et j’ai alors averti que je rendrais mes recherches publiques si je ne recevais pas d’explication. Ma demande a été ignorée, donc je fais ce que j’ai dit que je ferais.
Rauch a déclaré qu’il se rendait compte que le bogue AirTag qu’il avait découvert n’était probablement pas le problème de sécurité ou de confidentialité le plus urgent auquel Apple était actuellement confronté. Mais il a déclaré qu’il n’était pas non plus difficile de corriger cette faille particulière, qui nécessite des restrictions supplémentaires sur les données que les utilisateurs d’AirTag peuvent saisir dans les paramètres de numéro de téléphone du mode perdu.
« C’est une chose assez facile à réparer », a-t-il déclaré. « Cela dit, j’imagine qu’ils veulent probablement aussi comprendre comment cela a été manqué en premier lieu. »
Apple n’a pas répondu aux demandes de commentaires.
Mise à jour, 12h31 : Rauch a partagé un e-mail montrant qu’Apple avait communiqué son intention de corriger le bogue quelques heures seulement avant de – pas après – BreachTrace les a contactés pour commentaires. L’histoire ci-dessus a été modifiée pour refléter cela.