La fonction de l’AirTag qui permet à toute personne possédant un smartphone de scanner le tracker perdu pour localiser les informations de contact du propriétaire peut être utilisée pour des escroqueries par phishing, selon un nouveau rapport partagé par KrebsOnSecurity.
Lorsqu’un AirTag est défini sur le mode Perdu, il génère une URL sur https://found.apple.com et permet au propriétaire de l’AirTag d’entrer un numéro de téléphone ou une adresse e-mail. Toute personne qui scanne l’AirTag est alors automatiquement dirigée vers l’URL avec les informations de contact du propriétaire, sans aucun accès requis pour afficher les détails fournis.
Selon KrebsOnSecurity, ce mode n’empêche pas les attaquants d’injecter du code arbitraire dans le champ du numéro de téléphone, de sorte qu’une personne qui scanne un AirTag peut être redirigée vers une fausse page de connexion iCloud ou un autre site malveillant. Si la victime ne sait pas que les informations personnelles ne sont pas nécessaires pour afficher les détails d’un AirTag perdu, elle peut alors être invitée à fournir son identifiant iCloud ou d’autres informations personnelles. Ou, la redirection peut essayer de télécharger un logiciel malveillant.
Ce problème a été découvert par le consultant en sécurité Bobby Raunch, qui a déclaré à KrebsOnSecurity que la vulnérabilité rend les AirTags dangereux : « Je ne me souviens pas d’un autre cas où ces petits dispositifs de suivi de qualité grand public comme celui-ci pourraient être utilisés comme des armes. »
Rauch a contacté Apple le 20 juin et il a fallu plusieurs mois à la société pour enquêter sur le problème. Jeudi, Apple a annoncé qu’elle corrigerait cette vulnérabilité dans une prochaine mise à jour et a demandé au chercheur de ne pas en parler en public.
Étant donné qu’Apple n’a fourni aucune information sur les récompenses en espèces liées au programme de bug bounty pour ceux qui découvrent des failles de sécurité, Rauch a décidé de partager les détails du bug.
« J’ai dit à Apple: « Je suis prêt à travailler avec vous si vous pouvez fournir des détails sur le moment où vous prévoyez de remédier à ce problème et s’il y aura une reconnaissance ou un paiement de la prime pour ce bug. » Je lui ai également dit que je publierais les résultats après 90 jours si je ne recevais aucune information. Leur réponse a été essentiellement : « Nous vous serions reconnaissants si vous ne divulguiez pas ces informations ». »
Après ces déclarations, Apple accélérera probablement le processus de mise à jour et publiera une mise à jour logicielle pour l’AirTag.
