Un chercheur en sécurité pirate le réseau Find My d'Apple

Fabian Bränlein utilise avec succès le réseau Find My d'AirTag pour s'envoyer des messages secrets.

trouver mon piratage de réseau

L'AirTag a été lancé il y a deux semaines et s'est avéré tout aussi intéressant pour les chercheurs en sécurité que pour les critiques techniques. Le petit tracker Bluetooth a le potentiel d'être très utile pour localiser les effets personnels perdus, mais toute faille dans la configuration de la sécurité pourrait être désastreuse car l'appareil est (selon les normes d'Apple) si bon marché et devrait se vendre dans des volumes aussi importants.

Plus tôt cette semaine, Thomas Roth (Stacksmashing) a dévoilé un piratage de la puce NFC de l'AirTag pour modifier l'URL affichée lorsque quelqu'un tient un appareil équipé NFC à côté du traqueur. Mais maintenant, le réseau Find My lui-même a été manipulé pour une utilisation autre que celle prévue.

Fabian Bräunlein a programmé un microcontrôleur appelé ESP32 pour envoyer des messages sur le réseau Find My d'Apple. En utilisant les mêmes fonctionnalités de cryptage que celles utilisées par les AirTags et d'autres produits prenant en charge Find My, il montre comment il est possible d'envoyer des données autres que les coordonnées de localisation.

Un AirTag en mode perdu envoie normalement des coordonnées GPS cryptées sur le réseau Find My à l'aide d'iPhones et d'autres appareils Apple. Avec la méthode de Bräunlein, il est possible de crypter d'autres données, comme un court message texte. Une application Mac spécialement conçue peut alors recevoir et décrypter les messages.

Les technologies qui sécurisent l'AirTag et le réseau Find My signifient qu'Apple aura beaucoup de mal à faire quoi que ce soit contre ce type de «mauvaise utilisation». Le système de cryptage empêche Apple de lire un message particulier ou de déterminer s'il contient réellement des coordonnées.

Click to rate this post!
[Total: 0 Average: 0]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *