AirDrop divulgue les numéros et les e-mails des utilisateurs

161
airdrop-divulgue-le-nombre-d'utilisateurs-et-les-e-mails,-selon-des-chercheurs

Apple dispose de certaines fonctionnalités enviables que d’autres plates-formes, notamment Android, tentent encore de mettre en œuvre. La commodité d’AirDrop et sa sécurité présumée sont l’une d’entre elles, et ce n’est que l’année dernière que le partage à proximité d’Android a finalement rattrapé son retard. Malheureusement, il semble qu’AirDrop ne soit pas vraiment si sécurisé que cela, et il suffit d’ouvrir la feuille de partage dans macOS ou iOS pour que le numéro de téléphone et l’adresse e-mail de l’utilisateur fuient vers n’importe quel pirate à portée.

Même s’il est désormais plus courant, AirDrop fait appel à une technique autrefois inédite qui utilise à la fois le Wi-Fi et le Bluetooth ad-hoc pour rechercher des appareils et établir une connexion entre eux.

Les utilisateurs ont la possibilité de partager uniquement avec leurs contacts ou avec toute personne possédant un Mac ou un iPhone, ou encore avec personne. Malheureusement, la faille découverte par les chercheurs en sécurité ne nécessite même pas l’utilisation d’AirDrop pour déclencher la fuite d’informations personnelles.

AirDrop : Tout ce que les utilisateurs doivent faire, c’est lancer le processus de partage qui fait apparaître la feuille de partage de macOS ou iOS.

En arrière-plan, AirDrop commence en fait à rechercher des appareils en diffusant un paquet de données cryptées contenant le téléphone et l’adresse électronique de l’expéditeur. L’intention est de vérifier quels appareils à proximité le contact de l’expéditeur est également enregistré pour être considéré comme un destinataire.

Hélas, ce cryptage n’est apparemment pas très solide et il est presque trop simple pour les pirates de lancer une attaque par force brute pour décrypter les numéros et les adresses électroniques.

Plus inquiétant encore, ces pirates n’ont qu’à attendre que quiconque possède un Mac, un iPhone ou un iPad commence à partager quoi que ce soit pour intercepter les données. Ces numéros de téléphone et ces adresses électroniques peuvent ensuite être utilisés pour d’autres attaques telles que les escroqueries par phishing.

Selon les rapports, les chercheurs ont divulgué cette vulnérabilité à Apple en 2019 et ont même fourni une implémentation de référence open source d’une alternative plus sécurisée. Apple n’a pas réagi à ce jour, et il n’est probablement pas si facile de corriger une partie aussi intégrante de son expérience macOS et iOS.