Une faille du Wi-Fi rendait les iPhone vulnérables
Une faille dans le système AWDL, en charge d’AirDrop notamment permettait de prendre possession d’un iPhone à proximité sans que le propriétaire ne puisse le détecter.
C’est ce qu’a démontré Ian Beer, un membre du projet Zero de Google. En utilisant une faille d’iOS — qui a depuis été corrigé — il a réussi à mettre en place un système d’attaque qui peut avoir accès aux photos, aux e-mails, aux messages…
La découverte, publiée ce mardi sur le blog du projet Zéro fait la genèse de cette découverte. L’ingénieur a en effet utilisé un système nommé « AWDL » qui gère notamment AirDrop ou SideCar. À l’intérieur de ce logiciel, il a trouvé une vulnérabilité qui lui a permis d’avoir accès à tous les iPhone qui étaient à proximité de son dispositif.
Beer explique qu’AWDL est activé par défaut sur les iPhone, ce qui donne une porte d’entrée pour un nombre conséquent d’attaques, il faut donc que le code qui régit cette fonctionnalité de base soit des plus robustes, mais selon Beer c’était loin d’être le cas.
Une erreur corrigée depuis
Selon lui son système d’attaque aurait très bien pu être utilisé sur un drone qui survole une manifestation et ainsi récolter des informations sur l’ensemble des personnes présentes. Ian Beer évalue la portée maximale de son système d’attaques à plusieurs centaines de mètres.
Il a mis plus de 6 mois à développer seul, ce système avant qu’il ne soit opérationnel. Selon lui, il n’existe aucune preuve que ce système ait été utilisé durant sa fenêtre de fonctionnement. Il a depuis été corrigé par Apple au cours de la mise à jour d’iOS 13.5.
Il n’a pas encore été indiqué si la découverte de Ian Beer était éligible au Bug Bounty d’Apple, mais si tel est le cas, le million de dollars qu’il pourrait recevoir serait reversé à une association caritative, conformément à son souhait.