
Des chercheurs en sécurité ont découvert trois vulnérabilités touchant AirDrop, affectant à la fois les iPhones et les Mac. Des défauts similaires ont également été identifiés dans le système Quick Share d’Android.
Un attaquant peut facilement exploiter ces failles pour provoquer un crash d’AirDrop, AirPlay, Handoff, du Presse-papiers universel et de la caméra de continuité, les rendant inaccessibles tant que l’attaque se poursuit. Selon HelpNetSecurity, il s’agit d’une attaque relativement simple à initier.
Un attaquant à proximité nécessite un ordinateur portable avec Wi-Fi et un emplacement à portée, souvent entre 10 et 30 mètres. Aucun appairage, échange de contacts ou réseau partagé n’est requis. Sur les appareils Apple réglés pour recevoir des fichiers de « Tout le monde », les premières phases du protocole réagissent avant même l’apparition d’un message de demande à l’utilisateur.
La bonne nouvelle, c’est qu’aucune donnée ne peut être volée. En revanche, de nombreux services Apple connexes sur iPhone et Mac peuvent être désactivés à distance.
Les trois découvertes relatives à AirDrop provoquent toutes un crash. La plus simple découle d’un appel fatalError en Swift dans le code qui dirige les requêtes web entrantes par chemin. Une requête vers un chemin non reconnu atteint cet appel et interrompt l’ensemble du processus. Une seule requête peut faire tomber AirDrop, AirPlay, Handoff, le Presse-papiers universel et la caméra de continuité simultanément. Si envoyée en boucle toutes les quelques secondes, cela maintient le service en échec. Lors d’un test, toutes les tentatives de connexion légitimes ont échoué sous l’attaque et ont réussi lorsqu’elle s’est arrêtée.
Le chercheur en sécurité, Arash Ebrahim, a déclaré qu’il était difficile d’éviter totalement ce type de vulnérabilités, soulignant qu’elles existent sur plusieurs plateformes malgré peu de code partagé. Selon lui, « Je ne pense pas que le chevauchement soit unique à Apple ou Google. Cela reflète plutôt les défis d’ingénierie communs dans les protocoles basés sur la proximité. Ces services sont conçus pour offrir une expérience utilisateur fluide, ce qui nécessite que des daemons privilégiés traitent des entrées complexes contrôlées par des attaquants avant que l’authentification ou l’approbation par l’utilisateur n’ait lieu. Cela crée inévitablement une grande surface d’attaque pré-authentification. »
Ebrahim a suivi les pratiques de divulgation responsable en retenant des détails spécifiques jusqu’à ce qu’Apple et Google aient eu l’occasion de corriger les problèmes. Il a annoncé qu’Apple avait corrigé l’une des vulnérabilités et travaillait encore sur les deux autres.
« Un bug AirDrop a maintenant un correctif et un identifiant », a précisé Ale Ebrahim. « Apple nous a informés qu’une des vulnérabilités reportées avait été corrigée dans une mise à jour logicielle et avait reçu un identifiant CVE. Les détails correspondants sont encore privés pour le moment. »








