Les chercheurs en cybersécurité ont réussi à créer un clone d’Apple Airtag qui contourne la technologie de protection anti-harcèlement intégrée à son protocole de suivi basé sur Find My Bluetooth.

Le résultat est un AirTag furtif qui peut suivre avec succès un utilisateur d’iPhone pendant plus de cinq jours sans déclencher de notification de suivi, a déclaré le co-fondateur de Positive Security, Fabian Bräunlein, dans une analyse approfondie publiée la semaine dernière.

Find My est l’application de suivi des actifs d’Apple qui permet aux utilisateurs de suivre la position GPS des appareils iOS, iPadOS, macOS, watchOS, AirPods, AirTags ainsi que d’autres accessoires tiers pris en charge via un compte iCloud connecté. Il permet également aux utilisateurs de voir l’emplacement des autres qui ont choisi de partager leur emplacement.

C’est loin d’être la première fois que des faiblesses sont découvertes dans le système Find My d’Apple. En mars 2021, le Secure Mobile Networking Lab de l’Université technique de Darmstadt, en Allemagne (SEEMO) a révélé des défauts de conception et de mise en œuvre dans le protocole qui peuvent conduire à une attaque par corrélation de localisation et à un accès non autorisé aux historiques de localisation des utilisateurs.

Puis en mai 2021, Bräunlein a suivi en partageant les détails d’un protocole de communication construit sur Find My qui permet de télécharger des données arbitraires à partir d’appareils non connectés à Internet en envoyant des émissions Bluetooth « Find My » à des appareils Apple à proximité qui peuvent procéder au téléchargement des données.

Le développement intervient également alors qu’Apple, plus tôt ce mois-ci, a introduit une série de nouvelles mesures anti-harcèlement aux AirTags pour empêcher leur utilisation abusive associée au suivi d’individus sans méfiance sans leur consentement, en insérant un avertissement informant les utilisateurs que cela a des répercussions criminelles.

« Si un AirTag, un ensemble d’AirPods ou un accessoire de réseau Find My est découvert comme traquant illégalement une personne, les forces de l’ordre peuvent demander à Apple toute information disponible pour soutenir leur enquête », explique Apple dans un article d’assistance mis à jour.

Mais le clone AirTag « Find You » conçu par Positive Security vise à contourner « toutes les mesures de protection actuelles et à venir ». Il est également construit à l’aide d’OpenHaystack, un framework open source développé par les chercheurs de SEEMO pour suivre les appareils Bluetooth personnels via le réseau Find My d’Apple.

En diffusant de nouvelles clés publiques inédites toutes les 30 secondes à partir d’une liste de 2 000 clés publiques préchargées via le dispositif de preuve de concept (PoC), il a été constaté que le mécanisme rend le dispositif de suivi indétectable, ne déclenchant aucune alerte dans iOS et l’application Android Tracker Detect d’Apple même lorsque des AirTags indésirables sont présents.

Fait intéressant, AirGuard, qui a été développé par SEEMO comme une alternative tierce à Tracker Detect, est capable de découvrir le clone en mode « scan manuel », remettant en cause l’efficacité des barrières de sûreté et de sécurité mises en place par Apple pour protéger les utilisateurs contre l’utilisation malveillante des AirTags.

« La nature omniprésente du réseau Find My, combinée à sa haute précision et à son faible coût d’entrée, abaisse la barre des abus », ont déclaré les chercheurs de SEEMO Alexander Heinrich, Niklas Bittner et Matthias Hollick dans un nouvel article, soulignant comment « AirGuard a découvert plus de trackers réels dans différents scénarios par rapport à la détection de suivi iOS. »

« Apple doit incorporer des AirTags non authentiques dans son modèle de menace, implémentant ainsi des fonctionnalités de sécurité et anti-harcèlement dans le protocole et l’écosystème Find My plutôt que dans l’AirTag lui-même, qui peut exécuter un micrologiciel modifié ou ne pas être un AirTag du tout  » dit Bräunlein.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *