Des failles AirDrop d'Apple pourraient compromettre numéros de téléphone et adresses email

Des failles en rapport avec la solution AirDrop d'Apple pour le partage de fichiers à proximité sont susceptibles de permettre à des attaquants d'obtenir les numéros de téléphone, voire adresses email de cibles.
AirDrop est un service d'Apple pour le partage sans fil de fichiers entre ses appareils situés à proximité comme l'iPhone, l'iPad et l'ordinateur Mac. Il s'exécute entièrement hors ligne - sans connexion internet - et repose sur le Bluetooth (Bluetooth Low Energy) avec la création d'un réseau Wi-Fi en P2P (Wi-Fi Direct) entre les appareils.
Des chercheurs de l'université de technologie de Darmstadt en Allemagne ont découvert deux failles de conception dans le protocole sous-jacent de AirDrop. Selon eux, une exploitation permet à des attaquants de connaître les numéros de téléphone et adresses email des appareils de l'expéditeur et du destinataire lors d'un partage de fichiers.
" Tout ce qu'il faut aux attaquants, c'est un appareil compatible Wi-Fi et la proximité physique d'une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS ", peut-on lire dans un communiqué de presse de l'université allemande.
Les failles sont en lien avec l'échange de valeurs de hachage de tels identifiants de contact, avec des comparaisons et la recherche d'une correspondance mutuelle pour déterminer si une personne pour un partage du contenu se trouve dans les contacts. Les valeurs de hachage pourraient être rapidement inversées avec des attaques par force brute ou dictionnaire. Compte tenu du nombre de possibilités, la compromission d'adresses email serait plus compliquée que pour les numéros de téléphone.
Divulgation responsable auprès d'Apple
Les chercheurs ont informé Apple de leur découverte en mai 2019. Une correction n'a pas suivi et de l'ordre de 1,5 milliard d'appareils Apple seraient ainsi vulnérables. " Les utilisateurs peuvent uniquement se protéger en désactivant la découverte d'AirDrop dans les paramètres du système et en s'abstenant d'ouvrir le menu de partage. "
À souligner toutefois qu'une éventuelle attaque nécessite d'être à proximité physique des victimes, en plus d'autres contraintes pour l'échange des valeurs de hachage. Les chercheurs doivent plus amplement présenter leurs travaux au mois d'août prochain, et c'est sans doute pourquoi cette affaire refait surface.
Pour un protocole privé d'authentification mutuelle visant à combler les failles d'AirDrop, les chercheurs ont développé leur propre solution baptisée PrivateDrop dont une implémentation est disponible en open source.
-
C’est par une publication de blog que Google a annoncé le déploiement de la solution Nearby Share qui se veut concurrentielle d’Airdrop sur Android.
-
Plusieurs fabricants chinois de smartphones s'allient pour proposer un système de transfert de fichiers aussi pratique que l'AirDrop d'Apple.
Vos commentaires
Premium
Ah quand même ! Microsoft doit être vert de jalousie
J'suis câblé, donc pas concerné, mais ce serait quand même bien qu'ils corrigent ce problème là... On parle d'un produit APPLE tout de même