Bobby Rauch a découvert une faille liée aux AirTags et plus spécifiquement au mode perdu des balises. Ce chercheur en sécurité a réussi à trouver un moyen pour injecter du code arbitraire dans le champ dédié au numéro de téléphone que l’on doit saisir lors de la déclaration de perte de la balise. Ce code est exécuté quand une autre personne scanne la balise perdue, ce qui pourrait permettre d’ouvrir un site de phishing, par exemple.
C’est une faille de sécurité élaborée, mais qui pourrait servir à des attaques ciblées, par exemple en déposant des AirTags sur le parking d’une personne visée, une technique déjà exploitée avec des clés USB. Le chercheur en sécurité ne détaille pas la procédure qu’il a mise en place pour exploiter cette faille et l’app Localiser ne permet pas de saisir autre chose qu’un numéro de téléphone ou une adresse mail valide. Malgré tout, la faille existe toujours à l’heure actuelle et Apple ne l’a pas encore corrigée.
L’entreprise est encore une fois victime de sa gestion médiocre des failles de sécurité. Bobby Rauch explique avoir alerté Apple le 30 juin et n’avoir plus eu de nouvelles pendant trois mois, malgré ses relances. Ce n’est que très récemment que l’entreprise l’a notifié que le correctif allait venir et lui a demandé de ne rien dire, mais sans permettre aucune récompense financière, ni même l’assurer d’une reconnaissance de son travail. Face à ce mutisme, il a choisi de divulguer ses découvertes, sans donner toutefois le détail à ce stade.
Ce n’est pas la première fois qu’Apple ignore un chercheur en sécurité. Très récemment, c’est un confrère russe qui a publié ses découvertes sans attendre les correctifs, excédé par le manque de reconnaissance de l’entreprise :
Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité
Cette faille liée aux AirTags n’est pas dangereuse pour la majorité des utilisateurs, ce qui explique sans doute pourquoi elle n’a pas été corrigée plus rapidement. Avec une alerte en juin, Bobby Rauch est aussi tombé en plein développement d’iOS 15, mais ce n’est pas son problème. Et l’entreprise aurait pu lui répondre plus rapidement en lui promettant une reconnaissance publique, voire une récompense financière, même si cela peut prendre du temps.
Source :
