AirDrop : une faille permet de récupérer le numéro de téléphone ou l’e-mail
Des chercheurs allemands de l’Université Technologique de Darmstadt, spécialistes de la sécurité informatique, affirment avoir trouvé une faille majeure au sein d’AirDrop, le système de partage de fichiers à distance mis au point par Apple. Cette faille permet à un inconnu – situé dans la même zone de couverture WiFi que l’utilisateur – de récupérer (à distance donc) le numéro de téléphone ou l’adresse e-mail dudit utilisateur, entre autres…
La faille provient de deux écueils : premièrement, l’option AirDrop « Contacts Seulement » (pour le transfert de fichiers vers ses seuls contacts) requiert en effet la collecte silencieuse de certaines données d’identifiants de tous les appareils iOS ou macOS situés dans la même zone de couverture réseau. Ce n’est qu’après ce premier « match » qu’AirDrop active un système d’authentification mutuel afin de déterminer si la personne détectée appartient bien à la liste des contacts.
Deuxième écueil, il est aisément possible de contourner le chiffrement des données transmises via AirDrop afin de récupérer en clair ces données sensibles, via la technique d’attaque ancestrale de la force brute (test d’une infinité de combinaisons).
L’équipe de chercheurs a contacté Apple en mai 2019 concernant cette faille majeure, sans réponse jusque là…
La Gallère » collecte silencieuse de certaines données d’identifiants »
C’est claire que Apple ne bougent pas…leur publicité sécurité en prend un coup.
Je me souviens de la faille FaceTime de 2019, le jeune Grant Thompson, 14 ans, a découvert cela et sans passer par les médias, on en aurait pas entendu parler…
Bien mauvaise pube pour Apple.
Les iPhones ne sont pas des passoires, Apple parle sécurité pour rassurer et vendre des appareils, mais En réalité il y’a toujours des failles (ex encore ici avec AirDrop). Rappelez-vous des journalistes d’Al Jazeera en décembre 2020, piratés via faille iMessage ios13 (iOS 14 l’a corrigée), les auteurs ont pu récupérer les messages, messages vocaux etc. En cas d’attaque ciblée, vous êtes toujours vulnerable..
Merci