Version imprimable du sujet

Écrit par : Lionel 10 May 2021, 09:16

Comme il fallait s'y attendre, la communauté des hackers s'est très vite intéressée aux AirTags d'Apple.
Sur Twitter, on apprend que l'un d'entre eux a réussi à accéder au code contenu dans le micro-contrôleur.

Il a aussi réussi à le modifier et à le réinjecter. La modification est sans réelle conséquence, elle permet de modifier le lien ouvert par l'iPhone à la lecture de l'AirTag.
Toutefois, d'autres hackers plus ou moins malveillants pourraient tenter de faire de ces petites balises des produits plus compromettants.
Apple va aussi devoir lutter contre cela.

http://macbidouille.com/news/2021/05/10/le-micro-controleur-des-airtags-interesse-les-chercheurs-en-securite

Écrit par : ekami 10 May 2021, 09:18

Avant d'acheter Apple, toujours la Rév.D tu attendras…

Écrit par : iAPX 10 May 2021, 11:09

Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté.
Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main.

Là, ça peut servir pour bien d'autres choses, et la modification a de réelles conséquences car un iPhone va Authentifier son interlocuteur NFC comme valide et le lien fourni aussi, et donc ouvrir celui-ci, avec l'utilisateur non conscient des risques de sécurité que ça peut poser.
Ça peut être totalement transparent dans le cas de prise d'information, avec une page blanche suivi d'un renvoi vers le lien d'origine, ni vu ni connu.

IoT, ou le S signifie Sécurité!!!

Écrit par : otto87 10 May 2021, 12:37

Et bien quelques jours ont suffit!

Écrit par : kikeo 10 May 2021, 12:53

[HS] Je suis admiratif devant l'ingéniosité et la technique de certains. J'aimerais tellement avoir ces compétences pour pouvoir rentrer dans le micro logiciel d'un truc.

Écrit par : linus 10 May 2021, 22:41

Est ce un problème de cryptage ? Est ce un code trop prévisible ? Est ce que, s'il on a la machine physique entre les mains, il devient "facile" de se bricoler un point d'entrée ?
Bref, a-t-on une idée des moyens mis en jeu pour un tel piratage ?

Tout cela est assez effrayant sachant que l'ensemble du monde économique nous pousse à faire confiance à l'informatique pour toi et n'importe quoi, et même pour les choses les plus critiques.

Lu ceci : "Thales et Senetas ont collaboré pour le lancement de la première solution au monde à permettre le chiffrement de réseau résistant à l'informatique quantique."
Ça prouve que tout le monde balise d'autant que, même sans ordinateur quantique, il semble qu'aucun cryptage actuel ne résiste bien longtemps.

Écrit par : iAPX 10 May 2021, 23:08

Ok lu leur PR, c'est du FUD pour faire raquer les grand-comptes en utilisant des cypher actuels résistants aux attaques quantiques. Thales.

Quand aux chiffrement actuels, il sont extrêmement sûrs pour certains, absolument incassables dans l'état de la science, incassable via les futures technologies quantiques, et d'ailleurs par exemple les chiffrements des Ransomware en sont un bel exemple puisque incassables même par des agences gouvernementales.
Évidemment il y a aussi de mauvais chiffrements, un exemple typique étant la suite Office de Microsoft où le chiffrement semble foireux depuis son apparition pour satisfaire les demandes des Agences US, mais après tout, chacun sa merde et personne n'est obligé d'utiliser de telles bouses!

Écrit par : downanotch 11 May 2021, 05:13

Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter.


L'AirTag utilise un processeur de Nordic et une faiblesse a été identifiée il y a environ une année sur cette famille : il existe un moyen de "ressusciter" l'interface de debug qu'on détruit lors de la fabrication pour empêcher tout accès au code par la suite.

Écrit par : Lionel 11 May 2021, 07:40

Tu as entendu parler des amplificateurs de signal NFC ?

Écrit par : downanotch 11 May 2021, 11:51

D'où le dialogue de confirmation

Écrit par : iAPX 11 May 2021, 11:51

Pour l'approcher, nombre de gens seront curieux et le feront, même principe que de "perdre" des clés USB dans un parking, un grand classique!

Pour le nom de domaine (et non le nom du serveur), un found.apple-airtags.com fera parfaitement l'affaire, il est d'ailleurs déjà déposé par des malandrins

Écrit par : Lionel 11 May 2021, 12:01

certes, mais ton double acte volontaire prend de l'aile. Pas grave.

Écrit par : downanotch 11 May 2021, 12:09

Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte.

Écrit par : Lionel 11 May 2021, 12:20

Tu as forcément raison, tu défends Apple.
Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires.

Écrit par : iAPX 11 May 2021, 12:55

Ça n'est pas Apple spécifiquement d'ailleurs le problème, ou son produit, mais le facteur d'échelle et conséquemment les possibilité de traçage réellement permises.

La boîte de Pandore avait d'ailleurs déjà été ouverte avec des Mac transmettant régulièrement, même "éteint", et traçables au travers d'autres dispositifs Apple.
Je veux avoir "Find My", pour pouvoir envoyer un message voir effacer mon Mac à distance, en revanche je ne supporte pas l'idée qu'il puisse être suivi partout quand je suis en sa possession.

C'est en train d'aller trop loin.
Il y a énormément de reculs en terme de liberté et de vie privée, tant dans les sociétés civiles de nombreux pays riches, que via les produits qui nous sont imposés.

Écrit par : joe75 12 May 2021, 10:35

C'est bien résumé en effet, les avantages mais sans les inconvénients...
Ca me fait penser aussi au principe de freewifi où la freebox servait de hot spot wifi gratuit (sur un réseau séparé quand même) , pour utiliser ce service, il fallait donc choisir que sa box serve aussi de relais.

Disons que ça va peut être faire les affaires de Tile si on n'a pas juste besoin d'avoir un tracker bluetooth pour faire sonner ses affaires à la maison et pas d'un maillage dans le monde entier.
J'y vois quand même plus d'avantage que d'inconvénient même si en pratique la possibilité de laisser un numéro de tél pour contacter le propriétaire donnera surement de bons résultats.