IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Le micro-contrôleur des AirTags intéresse les chercheurs en sécurité, Réactions à la publication du 10/05/2021
Options
Lionel
posté 10 May 2021, 09:16
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 673
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Comme il fallait s'y attendre, la communauté des hackers s'est très vite intéressée aux AirTags d'Apple.
Sur Twitter, on apprend que l'un d'entre eux a réussi à accéder au code contenu dans le micro-contrôleur.

Il a aussi réussi à le modifier et à le réinjecter. La modification est sans réelle conséquence, elle permet de modifier le lien ouvert par l'iPhone à la lecture de l'AirTag.
Toutefois, d'autres hackers plus ou moins malveillants pourraient tenter de faire de ces petites balises des produits plus compromettants.
Apple va aussi devoir lutter contre cela.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
ekami
posté 10 May 2021, 09:18
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 5 309
Inscrit : 9 Apr 2004
Membre no 17 402



Avant d'acheter Apple, toujours la Rév.D tu attendras…


--------------------
Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
Go to the top of the page
 
+Quote Post
iAPX
posté 10 May 2021, 11:09
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 337
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Lionel @ 10 May 2021, 03:16) *
...
Il a aussi réussi à le modifier et à le réinjecter. La modification est sans réelle conséquence, elle permet de modifier le lien ouvert par l'iPhone à la lecture de l'AirTag.
...

Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté.
Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main.

Là, ça peut servir pour bien d'autres choses, et la modification a de réelles conséquences car un iPhone va Authentifier son interlocuteur NFC comme valide et le lien fourni aussi, et donc ouvrir celui-ci, avec l'utilisateur non conscient des risques de sécurité que ça peut poser.
Ça peut être totalement transparent dans le cas de prise d'information, avec une page blanche suivi d'un renvoi vers le lien d'origine, ni vu ni connu.

IoT, ou le S signifie Sécurité!!! laugh.gif


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
otto87
posté 10 May 2021, 12:37
Message #4


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 216
Inscrit : 12 Jun 2009
Membre no 137 508



Et bien quelques jours ont suffit!


--------------------
Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde....
Mac Plus, SE 30,SI,CI,LC 1,2,3,4,imac G3, G4 Tour,imac intel, mac book 13",Dell Precision
Go to the top of the page
 
+Quote Post
kikeo
posté 10 May 2021, 12:53
Message #5


Sans Titre
****

Groupe : Membres
Messages : 845
Inscrit : 16 Oct 2001
Membre no 1 049



[HS] Je suis admiratif devant l'ingéniosité et la technique de certains. J'aimerais tellement avoir ces compétences pour pouvoir rentrer dans le micro logiciel d'un truc.
Go to the top of the page
 
+Quote Post
linus
posté 10 May 2021, 22:41
Message #6


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 472
Inscrit : 24 Jun 2004
Lieu : Grenoble
Membre no 20 409



Est ce un problème de cryptage ? Est ce un code trop prévisible ? Est ce que, s'il on a la machine physique entre les mains, il devient "facile" de se bricoler un point d'entrée ?
Bref, a-t-on une idée des moyens mis en jeu pour un tel piratage ?

Tout cela est assez effrayant sachant que l'ensemble du monde économique nous pousse à faire confiance à l'informatique pour toi et n'importe quoi, et même pour les choses les plus critiques.

Lu ceci : "Thales et Senetas ont collaboré pour le lancement de la première solution au monde à permettre le chiffrement de réseau résistant à l'informatique quantique."
Ça prouve que tout le monde balise d'autant que, même sans ordinateur quantique, il semble qu'aucun cryptage actuel ne résiste bien longtemps.
Go to the top of the page
 
+Quote Post
iAPX
posté 10 May 2021, 23:08
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 337
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (linus @ 10 May 2021, 16:41) *
...
Lu ceci : "Thales et Senetas ont collaboré pour le lancement de la première solution au monde à permettre le chiffrement de réseau résistant à l'informatique quantique."
Ça prouve que tout le monde balise d'autant que, même sans ordinateur quantique, il semble qu'aucun cryptage actuel ne résiste bien longtemps.

Ok lu leur PR, c'est du FUD pour faire raquer les grand-comptes en utilisant des cypher actuels résistants aux attaques quantiques. Thales.

Quand aux chiffrement actuels, il sont extrêmement sûrs pour certains, absolument incassables dans l'état de la science, incassable via les futures technologies quantiques, et d'ailleurs par exemple les chiffrements des Ransomware en sont un bel exemple puisque incassables même par des agences gouvernementales.
Évidemment il y a aussi de mauvais chiffrements, un exemple typique étant la suite Office de Microsoft où le chiffrement semble foireux depuis son apparition pour satisfaire les demandes des Agences US, mais après tout, chacun sa merde et personne n'est obligé d'utiliser de telles bouses!

Ce message a été modifié par iAPX - 11 May 2021, 02:39.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
downanotch
posté 11 May 2021, 05:13
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 751
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (iAPX @ 10 May 2021, 12:09) *
Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté.
Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main.

Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter.

Citation (linus @ 10 May 2021, 23:41) *
Est ce un problème de cryptage ? Est ce un code trop prévisible ? Est ce que, s'il on a la machine physique entre les mains, il devient "facile" de se bricoler un point d'entrée ?
Bref, a-t-on une idée des moyens mis en jeu pour un tel piratage ?

L'AirTag utilise un processeur de Nordic et une faiblesse a été identifiée il y a environ une année sur cette famille : il existe un moyen de "ressusciter" l'interface de debug qu'on détruit lors de la fabrication pour empêcher tout accès au code par la suite.
Go to the top of the page
 
+Quote Post
Lionel
posté 11 May 2021, 07:40
Message #9


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 673
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (downanotch @ 11 May 2021, 06:13) *
Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter.

Tu as entendu parler des amplificateurs de signal NFC ?


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
downanotch
posté 11 May 2021, 11:51
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 751
Inscrit : 11 Apr 2012
Membre no 175 864



D'où le dialogue de confirmation smile.gif
Go to the top of the page
 
+Quote Post
iAPX
posté 11 May 2021, 11:51
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 337
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (downanotch @ 10 May 2021, 23:13) *
Citation (iAPX @ 10 May 2021, 12:09) *
Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté.
Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main.

Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter.

Pour l'approcher, nombre de gens seront curieux et le feront, même principe que de "perdre" des clés USB dans un parking, un grand classique!

Pour le nom de domaine (et non le nom du serveur), un found.apple-airtags.com fera parfaitement l'affaire, il est d'ailleurs déjà déposé par des malandrins laugh.gif


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
Lionel
posté 11 May 2021, 12:01
Message #12


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 673
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (downanotch @ 11 May 2021, 12:51) *
D'où le dialogue de confirmation smile.gif

certes, mais ton double acte volontaire prend de l'aile. Pas grave.


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
downanotch
posté 11 May 2021, 12:09
Message #13


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 751
Inscrit : 11 Apr 2012
Membre no 175 864



Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte.
Go to the top of the page
 
+Quote Post
Lionel
posté 11 May 2021, 12:20
Message #14


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 673
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Citation (downanotch @ 11 May 2021, 13:09) *
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte.

Tu as forcément raison, tu défends Apple.
Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires.


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
iAPX
posté 11 May 2021, 12:55
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 337
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Lionel @ 11 May 2021, 06:20) *
Citation (downanotch @ 11 May 2021, 13:09) *
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte.

Tu as forcément raison, tu défends Apple.
Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires.

Ça n'est pas Apple spécifiquement d'ailleurs le problème, ou son produit, mais le facteur d'échelle et conséquemment les possibilité de traçage réellement permises.

La boîte de Pandore avait d'ailleurs déjà été ouverte avec des Mac transmettant régulièrement, même "éteint", et traçables au travers d'autres dispositifs Apple.
Je veux avoir "Find My", pour pouvoir envoyer un message voir effacer mon Mac à distance, en revanche je ne supporte pas l'idée qu'il puisse être suivi partout quand je suis en sa possession.

C'est en train d'aller trop loin.
Il y a énormément de reculs en terme de liberté et de vie privée, tant dans les sociétés civiles de nombreux pays riches, que via les produits qui nous sont imposés.

Ce message a été modifié par iAPX - 11 May 2021, 12:56.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
joe75
posté 12 May 2021, 10:35
Message #16


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 319
Inscrit : 12 Jun 2005
Membre no 40 785



Citation (iAPX @ 11 May 2021, 13:55) *
Citation (Lionel @ 11 May 2021, 06:20) *
Citation (downanotch @ 11 May 2021, 13:09) *
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte.

Tu as forcément raison, tu défends Apple.
Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires.

Ça n'est pas Apple spécifiquement d'ailleurs le problème, ou son produit, mais le facteur d'échelle et conséquemment les possibilité de traçage réellement permises.

La boîte de Pandore avait d'ailleurs déjà été ouverte avec des Mac transmettant régulièrement, même "éteint", et traçables au travers d'autres dispositifs Apple.
Je veux avoir "Find My", pour pouvoir envoyer un message voir effacer mon Mac à distance, en revanche je ne supporte pas l'idée qu'il puisse être suivi partout quand je suis en sa possession.

C'est en train d'aller trop loin.
Il y a énormément de reculs en terme de liberté et de vie privée, tant dans les sociétés civiles de nombreux pays riches, que via les produits qui nous sont imposés.


C'est bien résumé en effet, les avantages mais sans les inconvénients...
Ca me fait penser aussi au principe de freewifi où la freebox servait de hot spot wifi gratuit (sur un réseau séparé quand même) , pour utiliser ce service, il fallait donc choisir que sa box serve aussi de relais.

Disons que ça va peut être faire les affaires de Tile si on n'a pas juste besoin d'avoir un tracker bluetooth pour faire sonner ses affaires à la maison et pas d'un maillage dans le monde entier.
J'y vois quand même plus d'avantage que d'inconvénient même si en pratique la possibilité de laisser un numéro de tél pour contacter le propriétaire donnera surement de bons résultats.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 17th June 2021 - 19:16