Des failles AirDrop d'Apple pourraient compromettre numéros de téléphone et adresses email

AirDrop est un service d'Apple pour le partage sans fil de fichiers entre ses appareils situés à proximité comme l'iPhone, l'iPad et l'ordinateur Mac. Il s'exécute entièrement hors ligne - sans connexion internet - et repose sur le Bluetooth (Bluetooth Low Energy) avec la création d'un réseau Wi-Fi en P2P (Wi-Fi Direct) entre les appareils.

Des chercheurs de l'université de technologie de Darmstadt en Allemagne ont découvert deux failles de conception dans le protocole sous-jacent de AirDrop. Selon eux, une exploitation permet à des attaquants de connaître les numéros de téléphone et adresses email des appareils de l'expéditeur et du destinataire lors d'un partage de fichiers.

" Tout ce qu'il faut aux attaquants, c'est un appareil compatible Wi-Fi et la proximité physique d'une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS ", peut-on lire dans un communiqué de presse de l'université allemande.

Les failles sont en lien avec l'échange de valeurs de hachage de tels identifiants de contact, avec des comparaisons et la recherche d'une correspondance mutuelle pour déterminer si une personne pour un partage du contenu se trouve dans les contacts. Les valeurs de hachage pourraient être rapidement inversées avec des attaques par force brute ou dictionnaire. Compte tenu du nombre de possibilités, la compromission d'adresses email serait plus compliquée que pour les numéros de téléphone.

Divulgation responsable auprès d'Apple

Les chercheurs ont informé Apple de leur découverte en mai 2019. Une correction n'a pas suivi et de l'ordre de 1,5 milliard d'appareils Apple seraient ainsi vulnérables. " Les utilisateurs peuvent uniquement se protéger en désactivant la découverte d'AirDrop dans les paramètres du système et en s'abstenant d'ouvrir le menu de partage. "

À souligner toutefois qu'une éventuelle attaque nécessite d'être à proximité physique des victimes, en plus d'autres contraintes pour l'échange des valeurs de hachage. Les chercheurs doivent plus amplement présenter leurs travaux au mois d'août prochain, et c'est sans doute pourquoi cette affaire refait surface.

Pour un protocole privé d'authentification mutuelle visant à combler les failles d'AirDrop, les chercheurs ont développé leur propre solution baptisée PrivateDrop dont une implémentation est disponible en open source.