Sécurité : l’AirTag peut servir à siphonner vos mots de passe
Sous certaines conditions.
L’AirTag, ce traqueur d’objets signé Apple, dispose d’un mode spécial à enclencher lorsque l’utilisateur n’arrive plus à le retrouver. Ce “Lost Mode”, ou “Mode Perdu”, une fois activé, donne la possibilité à quiconque mettant la main sur le capteur, de retrouver les informations du propriétaire en approchant sa trouvaille d’un smartphone compatible NFC.
En amont, l’utilisateur aura défini quelles informations il veut communiquer à toute personne mettant la main sur son AirTag, numéro de téléphone par exemple.
Sauf qu’il a été prouvé qu’il était possible d’injecter un code malicieux dans le numéro de téléphone indiqué. Ainsi, si le numéro de téléphone apparaît normalement, il peut en fait contenir de quoi automatiquement envoyer l’utilisateur de bonne volonté vers un site web dit de phishing, qui va tenter de récupérer de nombreuses informations confidentielles, dont des mots de passe.
Cette faille a été communiquée à Apple le 20 juin dernier et a été rendue publique récemment. Le chercheur et auteur de la découverte, Booby Rauch, a voulu respecter le délai de 90 jours entre l’annonce privée et l’annone publique, délai classique dans ce genre de procédure de recherche de bugs et de failles de sécurité.
Il affirme n’avoir pas reçu plus de détail que cela de la part du géant californien à ce jour. La firme l’ayant simplement remercié pour la trouvaille et l’ayant incité à ne pas communiquer sur le sujet trop tôt.
La faille serait par ailleurs toujours d’actualité, on espère l’arrivée rapide d’un correctif. Même si, il faut bien se le dire, il y a déjà peu de chance de tomber dans la nature sur un AirTag, encore moins sur celui d’un pirate connaissant la manipulation et ayant les informations techniques pour en profiter.
Lecteur-1604530471 (posté avec l'app i-nfo.fr V2)
1 octobre 2021 à 12 h 44 min
Merki apple
lolo
1 octobre 2021 à 12 h 54 min
tout ce que l’homme peut faire, l’homme peut le défaire!
Pierrot
1 octobre 2021 à 13 h 03 min
Bonjour, si je comprends bien la manip, le dernier paragraphe n’est pas correct…
Ce n’est pas celui qui trouve qui est un pirate, mais quelqu’un qui égare volontairement un airtag avec le code malicieux dans le n° enregistré
dup_001
1 octobre 2021 à 13 h 50 min
Voilà! Sinon, cet article est clair comme du jus de chique!
Pierrot
1 octobre 2021 à 19 h 46 min
Je vais aller du côté de Cupertino lâcher quelques airtag… Avec un peu de chance, Tim Cook le trouvera et je lui phishingerais son compte bancaire.
Ça lui apprendra à sortir de plus en plus de produits avec des failles (sans être testées à fond en fait)…
mouahahahahah
(Je plaisante bien entendu pour les autorités compétentes)
Arno_5110 (posté avec l'app i-nfo.fr V2)
1 octobre 2021 à 17 h 25 min
@Pierrot j’ai compris pareil !
Pierre Otin
1 octobre 2021 à 18 h 49 min
Effectivement, j’ai modifié le dernier paragraphe en conséquence.
Darth Philou
1 octobre 2021 à 19 h 11 min
Je reste curieux de savoir comment on peut saisir un numéro de téléphone correct qui ne s’affiche qu’à l’utilisateur et en même temps injecter un code « malicieux ». À moins qu’Apple ne se soit pas protégé contre du « code injection », mais c’est tellement basique que je ne crois pas à cette hypothèse.
SebC
7 octobre 2021 à 12 h 02 min
Pfff… l’aitag sert simplement à envoyer celui qui le trouve surt un site de phishing. Après, si les gens fournissent leur propre mot de passe et leur numéro de CB ou que sais-je encore, sur un site bien louche, c’est pas vraiment la faite de l’airtag.
En fait, c’est pas pire qu’aller cliquer sur un lien web qui vous amène sur un site malveillant…
Encore une “faille” qui n’en est pas une, qui sert juste à taper sur Apple ou essayer de leur soutirer de l’argent pour la découverte… Et à faire couler de l’encre..
=> Les gens, Internet n’est pas sûr, arrêtez de donner tout et n’importe quoi sur des sites inconnus… Est-ce que ça vous viendrait à l’esprit de donner votre argent à un gars qui frappe à votre porte et prétend être employé par votre banque ? Non ? ben c’est pareil sur internet…