PSA : Soyez averti : les AirTags d’Apple sont actuellement vulnérables aux attaques de scripts intersites stockés (XSS). Parmi les différents exploits XSS possibles se trouve une simple redirection de site. Si vous trouvez un AirTag et que vous êtes invité à vous connecter à iCloud pour alerter le propriétaire, vous avez trouvé un tag « armé ». N’entrez pas vos identifiants ! Aucune connexion n’est nécessaire pour signaler que vous avez trouvé un AirTag.
Un chercheur en sécurité a découvert que les AirTags d’Apple sont vulnérables aux attaques par injection de code XSS. Un attaquant doit simplement entrer le code malveillant dans le champ du numéro de téléphone avant de placer le porte-clés en mode Perdu, puis le laisser quelque part pour qu’une victime sans méfiance puisse le trouver.
Lorsque le bon samaritain trouve l’AirTag et le scanne pour le signaler comme trouvé, le code peut rediriger la victime vers une page de connexion iCloud clonée qui enregistre les informations d’identification de l’utilisateur avec un enregistreur de frappe. Il peut ensuite être redirigé vers le site Web actuel d’Apple Found, qui ne nécessite pas de connexion, et le processus de rapport peut se poursuivre normalement.
Bobby Rauch, un consultant en sécurité basé à Boston, a découvert la faille zero-day en juin. Il a informé Apple de la vulnérabilité et leur a donné le délai standard de 90 jours avant de la divulguer au public. Pendant son attente, Apple ne l’a jamais contacté pour savoir si un correctif était en cours, ni s’il serait crédité et récompensé par une prime de bug.
Après être devenu public, Apple a confirmé la faille de sécurité et a déclaré à NetcostMac qu’il travaillait sur un correctif. Cependant, il n’y avait pas de délai quant au moment où un correctif serait disponible.
En plus de rediriger les victimes vers un site Web de phishing, Rauch a déclaré que d’autres types d’injections étaient possibles, notamment le détournement de jetons de session, le détournement de clics, etc.
« Un attaquant peut créer des Airtags armés et les laisser là, victimisant des personnes innocentes qui essaient simplement d’aider une personne à retrouver leur Airtag perdu », a-t-il écrit.
Un exemple du fonctionnement de l’attaque de redirection peut être vu dans la vidéo ci-dessus. Un utilisateur averti peut remarquer que le domaine passe de « found.apple.com » à « 10.0.1.137 », mais une personne moyenne peut même ne rien remarquer de suspect. L’attaquant pourrait également utiliser un nom de domaine qui serait facilement ignoré.
L’atténuation la plus puissante pour cet exploit est la connaissance. Les utilisateurs doivent savoir que pour signaler un AirTag trouvé, aucune connexion n’est requise. Cependant, cela n’élimine pas les risques d’être victime d’autres types d’injection.