La faille Apple AirDrop expose les numéros de téléphone et les adresses e-mail au monde
La technologie AirDrop d’Apple est un moyen très pratique de partager des photos, des informations de contact et plus encore, mais une faille de sécurité pourrait signifier le partage de détails avec plus de personnes que vous n’en avez négocié.
Selon des chercheurs d’une importante université allemande, la technologie de transfert de données Apple-à-Apple alimentée par Wi-Fi et Bluetooth pourrait exposer votre numéro de téléphone et votre adresse e-mail à un étranger à portée Wi-Fi.
Les chercheurs travaillant sur Technische Universitat Darmstadt disent que le simple fait d’ouvrir un volet de partage iOS ou macOS pourrait exposer vos informations personnelles. Il n’est même pas nécessaire de commencer un transfert pour des tiers pour exposer le «risque de sécurité significatif», disent-ils.
Dans les résultats publiés cette semaine, les chercheurs disent que cela a soulevé le problème avec Apple en 2019 et que la société ne l’a pas encore résolu. Ils disent que le problème réside dans le hachage faible des numéros de téléphone et des adresses e-mail associés à l’utilisateur Apple. Tout ce que les étrangers doivent faire est d’être à proximité pour fouiner.
Dans un communiqué de presse, les chercheurs du Secure Mobile Networking Lab (SEEMOO) et du Cryptography and Privacy Engineering Group (ENCRYPTO) écrivent: «En tant qu’attaquant, il est possible de connaître les numéros de téléphone et les adresses e-mail des utilisateurs d’AirDrop – même en tant que parfait inconnu. Tout ce dont ils ont besoin, c’est d’un appareil compatible Wi-Fi et d’une proximité physique avec une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS. »
«Les problèmes découverts sont enracinés dans l’utilisation par Apple des fonctions de hachage pour« masquer »les numéros de téléphone et adresses e-mail échangés pendant le processus de découverte. Cependant, des chercheurs de TU Darmstadt ont déjà montré que le hachage ne permettait pas de détecter les contacts préservant la confidentialité, car les valeurs dites de hachage peuvent être rapidement inversées à l’aide de techniques simples telles que les attaques par force brute. »
Les chercheurs affirment que 1,5 milliard d’utilisateurs sont potentiellement vulnérables à ce problème, mais Apple n’a pas reconnu le problème, et encore moins tenté de le résoudre. Les chercheurs disent que le seul moyen de s’en prémunir actuellement est de désactiver AirDrop.