Depuis qu’Apple a lancé son appareil de suivi Bluetooth AirTag, des rapports sur l’appareil utilisé pour le harcèlement et d’autres activités criminelles ont fait surface dans le monde entier. Citant ces événements, la société a commencé à prendre les mesures nécessaires pour prévenir de tels problèmes en aidant les utilisateurs avec des guides de sécurité pertinents et en ajoutant des fonctionnalités de confidentialité pour un AirTag. Cependant, un chercheur en sécurité a maintenant construit un clone AirTag qui peut contourner presque toutes les fonctionnalités anti-harcèlement visant à prévenir les problèmes de confidentialité.
AirTag Clone contourne les fonctionnalités anti-harcèlement d’Apple
Alors que l’AirTag d’Apple est un appareil astucieux pour suivre et localiser des objets perdus comme des portefeuilles, des clés et des bagages, les gens utilisent l’appareil pour traquer d’autres personnes à leur insu. Suite à ces problèmes, Apple a récemment introduit de nouvelles fonctionnalités de confidentialité sur ses appareils pour empêcher de telles activités. En fait, la société a intégré quelques-unes de ces fonctionnalités avec sa dernière mise à jour iOS 15.4 beta 4.
Cependant, un chercheur en sécurité de Berlin, en Allemagne, a maintenant développé et construit un clone AirTag « furtif » qui peut contourner les fonctionnalités anti-harcèlement actuelles d’Apple. Ces clones n’ont pas de numéro de série unique en tant qu’AirTag d’origine et ne sont pas associés à un identifiant Apple. Dans un récent article de blogle chercheur en sécurité Fabian Bräulein a expliqué comment il avait réussi à développer le clone AirTag et à suivre avec succès un utilisateur d’iPhone à son insu pendant cinq jours entiers dans le cadre d’une expérience réelle.
Bräulein a basé le système (code source via GitHub) sur OpenHaystack, qui est un cadre dédié au suivi des appareils Bluetooth à l’aide du réseau Find My. Ensuite, il a utilisé un Microcontrôleur ESP32 avec prise en charge de Bluetooth, une banque d’alimentation et un câble pour construire le clone AirTag.
Comment ça marche?
Dans le billet de blog, Bräulein a expliqué comment chacune des fonctionnalités anti-harcèlement d’Apple pourrait être contournée en théorie. Par exemple, si un AirTag se sépare de son propriétaire, il émet actuellement un bip sonore pour avertir toute personne à proximité de l’appareil après trois jours. Bien qu’Apple ait réduit le délai de 3 jours à 8 à 24 heures, le clone AirTag le contourne car il n’a pas de haut-parleur fonctionnel. Il est révélé que divers clones de ce type ont été trouvés sur eBay.
D’autres fonctionnalités telles que le suivi des alertes dans les notifications à une victime potentielle de harcèlement ont été empêchées en utilisant plus de 2 000 clés publiques préchargées avec le clone AirTag diffusant l’une d’entre elles toutes les 30 secondes. De plus, l’absence de puce UWB à l’intérieur a empêché les victimes de suivre l’appareil à l’aide de la fonction de recherche de précision de l’application Find My.
Bräulein a rapporté qu’il était capable de suivre et localiser avec succès un utilisateur d’iPhone et un colocataire porteur d’iPhone pendant cinq jours, sans qu’ils reçoivent d’alertes de suivi sur leurs appareils, en utilisant le clone AirTag et un outil macOS personnalisé qui a été modifié pour le projet. Suite à des tests, il a également été découvert que le clone AirTag n’a pas pu être détecté par l’application Android Tracker Detect d’Apple.
Bräulein révèle que ce projet ne vise pas à promouvoir le harcèlement basé sur AirTag. Au lieu de cela, le billet de blog détaillé et le clone AirTag visent à souligner le fait que même avec les mesures de confidentialité d’Apple en place, les personnes ayant les bonnes connaissances peuvent trouver des moyens simples de les contourner et de développer des AirTags modifiés pour continuer leur harcèlement. Par conséquent, Apple devrait tenir compte de ces problèmes lors de l’intégration future de fonctionnalités anti-harcèlement pour les AirTags.
En attendant, si vous craignez d’être suivi à l’aide d’un AirTag, vous pouvez lire le Guide de sécurité officiel des AirTags pour plus de détails. Et si jamais vous trouvez un AirTag inconnu dans votre portefeuille, votre voiture ou votre sac à main, assurez-vous de suivre notre guide sur la façon de désactiver un AirTag trouvé en mouvement avec vous. N’oubliez pas de nous faire part de vos réflexions sur cette nouvelle découverte dans les commentaires ci-dessous !