Actualités

AirTag : mise en lumière d’une vulnérabilité XSS sous iOS ou Android permettant d’ex-filtrer les identifiant via une attaque par phishing !

Depuis le 20 Juin 2021, le consultant et analyste sécuritaire Bobby Rauch a levé le voile sur une vulnérabilité impactant les AirTag, des petits accessoires connectés permettant, une fois rattaché à un objet comme un trousseau de clé voire une valise, de facilement suivre ou trouver l’objet en question. Une sorte de Find My physique et concurrent des Smart Tag de Samsung pour tracer, en résumé, ses effets personnels. Malgré une idée ingénieuse sur le papier, dans la pratique et outre l’aspect éthique (donnée, vie privée), l’idée pouvait déjà faire débat ; désormais, c’est sur le plan sécuritaire que la problématique s’impose avec la mise en lumière d’une vulnérabilité Cross (Croix, X) site scripting.

 

 

La faille prend son point de départ depuis le mode perdu (lost mode) de l’AirTag : une page Web est, alors, générée (https://found.apple.com) de manière distincte ou unique et intègre le numéro de série du dispositif, le numéro de téléphone renseigné ainsi que le message personnel rattaché. Dès lors une injection (script) malveillante potentielle peut se produire : un individu peut faire croire, via une charge virale malveillante donc, qu’une demande de connexion est requise à cette page dans le cadre du principe classique. En réalité, il s’agira de récupérer ou collecter les identifiants de l’utilisateur-propriétaire de l’AirTag via une attaque par XSS depuis une page tronquée iCloud. Dans le pire des cas, une attaque par phishing peut se produire (faute d’une demande d’authentification préalable à la page found.apple.com) sans besoin aucun du terminal mobile rattaché à l’AirTag (à des fins de scan, via NFC).

 

Selon les confidences détaillées recueillies par l’expert cyber-sécuritaire Brian Krebs, Apple à confirmé au chercheur, depuis le 30 Septembre 2021, qu’elle allait prochainement “remédier à la faiblesse” lors d’une mise à jour à venir… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5