Le micro-contrôleur des AirTags intéresse les chercheurs en sécurité, Réactions à la publication du 10/05/2021 |
Bienvenue invité ( Connexion | Inscription )
Le micro-contrôleur des AirTags intéresse les chercheurs en sécurité, Réactions à la publication du 10/05/2021 |
10 May 2021, 09:16
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 330 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Comme il fallait s'y attendre, la communauté des hackers s'est très vite intéressée aux AirTags d'Apple.
Sur Twitter, on apprend que l'un d'entre eux a réussi à accéder au code contenu dans le micro-contrôleur. Il a aussi réussi à le modifier et à le réinjecter. La modification est sans réelle conséquence, elle permet de modifier le lien ouvert par l'iPhone à la lecture de l'AirTag. Toutefois, d'autres hackers plus ou moins malveillants pourraient tenter de faire de ces petites balises des produits plus compromettants. Apple va aussi devoir lutter contre cela. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
10 May 2021, 09:18
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 429 Inscrit : 9 Apr 2004 Membre no 17 402 |
Avant d'acheter Apple, toujours la Rév.D tu attendras…
-------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
10 May 2021, 11:09
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 372 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... Il a aussi réussi à le modifier et à le réinjecter. La modification est sans réelle conséquence, elle permet de modifier le lien ouvert par l'iPhone à la lecture de l'AirTag. ... Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté. Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main. Là, ça peut servir pour bien d'autres choses, et la modification a de réelles conséquences car un iPhone va Authentifier son interlocuteur NFC comme valide et le lien fourni aussi, et donc ouvrir celui-ci, avec l'utilisateur non conscient des risques de sécurité que ça peut poser. Ça peut être totalement transparent dans le cas de prise d'information, avec une page blanche suivi d'un renvoi vers le lien d'origine, ni vu ni connu. IoT, ou le S signifie Sécurité!!! -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
10 May 2021, 12:37
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 228 Inscrit : 12 Jun 2009 Membre no 137 508 |
Et bien quelques jours ont suffit!
-------------------- Ne vous plaignez pas, pour une fois notre gouvernement nous écoute SYSTEMATIQUEMENT!!!!!!
Niveau GPGPU je bosse sur un des 500 plus gros calculateur du monde.... |
|
|
10 May 2021, 12:53
Message
#5
|
|
Sans Titre Groupe : Membres Messages : 878 Inscrit : 16 Oct 2001 Membre no 1 049 |
[HS] Je suis admiratif devant l'ingéniosité et la technique de certains. J'aimerais tellement avoir ces compétences pour pouvoir rentrer dans le micro logiciel d'un truc.
|
|
|
10 May 2021, 22:41
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 651 Inscrit : 24 Jun 2004 Lieu : Grenoble Membre no 20 409 |
Est ce un problème de cryptage ? Est ce un code trop prévisible ? Est ce que, s'il on a la machine physique entre les mains, il devient "facile" de se bricoler un point d'entrée ?
Bref, a-t-on une idée des moyens mis en jeu pour un tel piratage ? Tout cela est assez effrayant sachant que l'ensemble du monde économique nous pousse à faire confiance à l'informatique pour toi et n'importe quoi, et même pour les choses les plus critiques. Lu ceci : "Thales et Senetas ont collaboré pour le lancement de la première solution au monde à permettre le chiffrement de réseau résistant à l'informatique quantique." Ça prouve que tout le monde balise d'autant que, même sans ordinateur quantique, il semble qu'aucun cryptage actuel ne résiste bien longtemps. |
|
|
10 May 2021, 23:08
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 372 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... Lu ceci : "Thales et Senetas ont collaboré pour le lancement de la première solution au monde à permettre le chiffrement de réseau résistant à l'informatique quantique." Ça prouve que tout le monde balise d'autant que, même sans ordinateur quantique, il semble qu'aucun cryptage actuel ne résiste bien longtemps. Ok lu leur PR, c'est du FUD pour faire raquer les grand-comptes en utilisant des cypher actuels résistants aux attaques quantiques. Thales. Quand aux chiffrement actuels, il sont extrêmement sûrs pour certains, absolument incassables dans l'état de la science, incassable via les futures technologies quantiques, et d'ailleurs par exemple les chiffrements des Ransomware en sont un bel exemple puisque incassables même par des agences gouvernementales. Évidemment il y a aussi de mauvais chiffrements, un exemple typique étant la suite Office de Microsoft où le chiffrement semble foireux depuis son apparition pour satisfaire les demandes des Agences US, mais après tout, chacun sa merde et personne n'est obligé d'utiliser de telles bouses! Ce message a été modifié par iAPX - 11 May 2021, 02:39. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
11 May 2021, 05:13
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté. Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main. Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter. Est ce un problème de cryptage ? Est ce un code trop prévisible ? Est ce que, s'il on a la machine physique entre les mains, il devient "facile" de se bricoler un point d'entrée ? Bref, a-t-on une idée des moyens mis en jeu pour un tel piratage ? L'AirTag utilise un processeur de Nordic et une faiblesse a été identifiée il y a environ une année sur cette famille : il existe un moyen de "ressusciter" l'interface de debug qu'on détruit lors de la fabrication pour empêcher tout accès au code par la suite. |
|
|
11 May 2021, 07:40
Message
#9
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 330 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter. Tu as entendu parler des amplificateurs de signal NFC ? -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
11 May 2021, 11:51
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
D'où le dialogue de confirmation
|
|
|
11 May 2021, 11:51
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 372 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Une des raisons inofficielles pour lesquelles Apple n'offre un support NFC que partiel, pour des usages et des partenaires définis, c'est le lancement de Safari avec l'ouverture d'URL injecté. Bien sûr les QR Code offrent un risque similaire, mais l'usager doit alors faire une action volontaire, finalement pas si différente que de voir l'URL et la taper à la main. Là aussi il faut un double acte volontaire : approcher l'iPhone à quelques cm de l'AirTag + confirmer l'ouverture via l'alerte qui affiche le nom du serveur auquel Safari va se connecter. Pour l'approcher, nombre de gens seront curieux et le feront, même principe que de "perdre" des clés USB dans un parking, un grand classique! Pour le nom de domaine (et non le nom du serveur), un found.apple-airtags.com fera parfaitement l'affaire, il est d'ailleurs déjà déposé par des malandrins -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
11 May 2021, 12:01
Message
#12
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 330 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
D'où le dialogue de confirmation certes, mais ton double acte volontaire prend de l'aile. Pas grave. -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
11 May 2021, 12:09
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte.
|
|
|
11 May 2021, 12:20
Message
#14
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 330 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte. Tu as forcément raison, tu défends Apple. Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires. -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
11 May 2021, 12:55
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 372 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte. Tu as forcément raison, tu défends Apple. Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires. Ça n'est pas Apple spécifiquement d'ailleurs le problème, ou son produit, mais le facteur d'échelle et conséquemment les possibilité de traçage réellement permises. La boîte de Pandore avait d'ailleurs déjà été ouverte avec des Mac transmettant régulièrement, même "éteint", et traçables au travers d'autres dispositifs Apple. Je veux avoir "Find My", pour pouvoir envoyer un message voir effacer mon Mac à distance, en revanche je ne supporte pas l'idée qu'il puisse être suivi partout quand je suis en sa possession. C'est en train d'aller trop loin. Il y a énormément de reculs en terme de liberté et de vie privée, tant dans les sociétés civiles de nombreux pays riches, que via les produits qui nous sont imposés. Ce message a été modifié par iAPX - 11 May 2021, 12:56. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
12 May 2021, 10:35
Message
#16
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 790 Inscrit : 12 Jun 2005 Membre no 40 785 |
Au contraire, une demande d'ouverture d'URL sans action préalable est à considérer comme suspecte. Tu as forcément raison, tu défends Apple. Comme certains, je pense que ces AirTags sont de fausses bonnes idées, Apple ouvre une boîte de Pandore sans savoir où elle pourra mener sauf à une hausse de la rubrique services et autres accessoires. Ça n'est pas Apple spécifiquement d'ailleurs le problème, ou son produit, mais le facteur d'échelle et conséquemment les possibilité de traçage réellement permises. La boîte de Pandore avait d'ailleurs déjà été ouverte avec des Mac transmettant régulièrement, même "éteint", et traçables au travers d'autres dispositifs Apple. Je veux avoir "Find My", pour pouvoir envoyer un message voir effacer mon Mac à distance, en revanche je ne supporte pas l'idée qu'il puisse être suivi partout quand je suis en sa possession. C'est en train d'aller trop loin. Il y a énormément de reculs en terme de liberté et de vie privée, tant dans les sociétés civiles de nombreux pays riches, que via les produits qui nous sont imposés. C'est bien résumé en effet, les avantages mais sans les inconvénients... Ca me fait penser aussi au principe de freewifi où la freebox servait de hot spot wifi gratuit (sur un réseau séparé quand même) , pour utiliser ce service, il fallait donc choisir que sa box serve aussi de relais. Disons que ça va peut être faire les affaires de Tile si on n'a pas juste besoin d'avoir un tracker bluetooth pour faire sonner ses affaires à la maison et pas d'un maillage dans le monde entier. J'y vois quand même plus d'avantage que d'inconvénient même si en pratique la possibilité de laisser un numéro de tél pour contacter le propriétaire donnera surement de bons résultats. |
|
|
Nous sommes le : 29th March 2024 - 13:33 |