Dispositif Apple AIRTAG, conçu pour être attaché à toutes sortes de choses pour une récupération ultérieure en cas de perte, permet de diriger facilement le citoyen qui le trouve vers un site conçu pour voler les identifiants de connexion iCloud ou télécharger du code malveillant arbitraire sur un smartphone.
Initialement, on supposait qu'un appareil pour lequel le propriétaire avait activé le "mode perdu" pouvait être analysé à l'aide d'un smartphone iOS ou Android, après quoi l'utilisateur peut voir le numéro de téléphone de contact de l'hôte. Il s’est avéré que cette fonction peut facilement conduire à une page de phishing ou à tout autre site malveillant.
L'activation du "Mode Perdu" génère une URL unique sur le domaine trouvé.apple.com et permet au propriétaire d'entrer un message personnel pour la personne qui a trouvé l'appareil et un numéro de téléphone de contact.
Après le scan, cette personne devrait idéalement voir un court message l'invitant à appeler. Pour afficher les informations, vous n'avez pas besoin de saisir vos données personnelles ou de vous connecter à iCloud, mais tout le monde ne le sait pas. De plus, le propriétaire d'AirTag peut entrer n'importe quel code dans le champ du numéro de téléphone.
La vulnérabilité a été découverte par Bobby Rauch, expert en sécurité de l'information basé à Boston, qui a contacté Apple dans l'espoir d'une récompense offerte par l'entreprise pour les vulnérabilités découvertes il y a un certain temps. La société a répondu qu'elle l'éliminerait dans une nouvelle mise à jour logicielle et a demandé de ne pas faire connaître le problème détecté. On sait que le programme Apple prévoit des paiements pouvant aller jusqu'à un million de dollars pour les vulnérabilités trouvées, mais pour les questions pertinentes dans Apple a refusé en disant : "Nous apprécierions que vous ne parliez pas de la vulnérabilité."
Comme le rapporte le portail KrebsonSecurity, les plaintes concernant "l'insensibilité" Apple n'apparaissent pas pour la première fois. L'entreprise est accusée de la lenteur de l'élimination des vulnérabilités et du fait qu'elle ne paie pas toujours les récompenses pour leur détection, et qu'elle ne répond pas du tout aux rapports d'erreurs et de problèmes dans le système de sécurité. Dans le même temps, dans le "darknet", nombreux sont ceux qui sont prêts à payer des sommes réelles et importantes à ceux qui trouvent d'éventuelles failles. Cependant, il y a un risque élevé que les spécialistes, sans attendre les retours et les encouragements, se contentent de publier des informations en libre accès - de tels cas ont déjà eu lieu.
Lisez aussi: