Des chercheurs découvrent une vulnérabilité effrayante des données dans Apple AirDrop

Les pirates peuvent accéder aux données AirDrop et extraire votre numéro de téléphone ou votre adresse e-mail. Ce problème est connu depuis 2019 et n’a pas encore été corrigé ou reconnu par Apple, bien qu’il affecte près de 1,5 milliard d’appareils Apple aujourd’hui.

Selon un rapport de chercheurs en sécurité de l’Université technique allemande de Darmstadt, le cœur de ce problème est la manière dont AirDrop partage les fichiers entre les appareils Apple en utilisant le carnet d’adresses et la liste de contacts par défaut. Selon les chercheurs, étant donné qu’AirDrop utilise «un mécanisme d’authentification mutuelle» pour comparer les numéros de téléphone, ainsi que les adresses e-mail, un pirate informatique peut facilement intercepter ces informations à l’aide d’un «appareil compatible Wi-Fi» situé à proximité d’un utilisateur Apple partageant. via MacOS, iOS ou iPadOS via AirDrop. Une attaque de preuve de concept peut être trouvée sur GitHub.

Cela peut être fait même si le pirate informatique ne figure pas dans le carnet d’adresses ou la liste de contacts de l’utilisateur. Cela se produit dans les deux sens, via Sender Leakage, ainsi que Receiver Leakage, selon les chercheurs.

Apple essaie de protéger les numéros de téléphone et les adresses e-mail échangés par «obfuscation», mais les chercheurs en sécurité ont constaté que cela n’empêchait pas l’inversion des valeurs de hachage. Ceux-ci peuvent être «rapidement réservés», selon les chercheurs en sécurité, par le biais d’attaques par force brute.

Les chercheurs de l’Université technique de Darmstadt ont affirmé avoir développé «PrivateDrop» qui peut remplacer la conception défectueuse d’AirDrop. Cette solution serait basée sur des protocoles d’intersection d’ensembles privés cryptographiques optimisés.

Cela signifie qu’il peut compléter les échanges entre certains appareils sans échanger les valeurs de hachage qui pourraient autrement être interprétées. Tout cela peut se produire avec un temps de retard d’environ une seconde. Ce projet est disponible sur GitHub, pour ceux qui s’intéressent à la recherche derrière ce qui a été dans son développement.

Étant donné qu’Apple n’a pas encore officiellement publié de correctif, vous pouvez essayer d’éviter d’utiliser ou de désactiver complètement AirDrop si vous êtes préoccupé. Pour ce faire sur un iPhone ou un iPad, cliquez sur Paramètres> Général. À partir de là, appuyez sur AirDrop> Réception désactivée. Sur MacOS, vous pouvez désactiver AirDrop en cliquant sur le Centre de contrôle à côté de la date et de l’heure, en choisissant AirDrop, puis en basculant le commutateur sur Désactivé. Des détails supplémentaires sont disponibles via Apple si vous souhaitez en savoir plus sur AirDrop sur MacOS.

Recommandations des rédacteurs



Leave a Reply

Your email address will not be published. Required fields are marked *

Main Menu