Des failles Quick Share et AirDrop touchent des millions d’appareils Android et iOS

 
Les protocoles d’échange de données sans fil d’Apple et de Google sont tous les deux victimes d’importantes failles de sécurité qui permettent à un hacker malveillant de faire planter ces appareils.
Un transfert de fichier d'un Pixel 10 vers un iPhone via Quick Share et AirDrop
Un transfert de fichier d’un Pixel 10 vers un iPhone via Quick Share et AirDrop // Source : Google

En informatique, la commodité est souvent l’ennemi de la sécurité. C’est ce que prouvent plusieurs nouvelles failles découvertes au sein des systèmes Quick Share et AirDrop. Les protocoles d’échange de données sans fil implémentés sur les téléphones Apple et Android permettent à un pirate déterminé de faire planter certaines fonctionnalités de votre téléphone.

Les détails exacts de ces failles de sécurité ont été publiés dans un article de recherche repéré par The Hacker News et montrent les problèmes inhérents à ce genre d’applications.

Des systèmes mécaniquement faillibles

Sur iPhone, il est, par exemple, possible d’initier silencieusement une connexion avec un téléphone connecté à AirDrop et faire planter le système sans que le ou la propriétaire de l’appareil ne soit averti de quoi que ce soit. Problème, c’est la même brique logicielle qui gère AirPlay (le protocole de partage de contenus audios/vidéos d’Apple), Handoff (qui permet le partage des tâches entre plusieurs appareils), le presse-papier universel et l’Appareil photo Continuité. Un bout de code malveillant et ce sont donc ces nombreuses fonctions qui sont mises HS.

Du côté d’Android, une autre faille repérée sur un Galaxy S23 permet de contourner les processus d’identification et de se connecter à une session Quick Share sans passer par les mesures de sécurité habituelles. Mais le problème le plus grave se situe dans l’application Quick Share sur Windows, qui désactive certaines mesures de sécurité et permet potentiellement l’exécution de code sur une machine infectée.

Que ce soit du côté d’iOS ou Android, ces failles exploitent la structure même de ces protocoles de partage qui, pour fonctionner efficacement, doivent offrir un accès assez profond aux couches système avant même d’avoir pu vérifier l’identité d’un appareil connecté.

Des risques mesurés

Il faut tout de même savoir raison garder. Tout d’abord parce que ces failles ne sont accessibles que via un réseau Wi-Fi partagé et pas via le web, ce qui réduit les risques. Ensuite, parce que dans les faits, ces bugs ne permettent pas de voler des données ou d’exécuter du code à distance. Juste de faire planter des applications sur votre téléphone, potentiellement en boucle. Enfin, car des correctifs ont déjà commencé à être déployés. Apple a patché l’une des trois failles dans une récente mise à jour et Google a déployé une nouvelle version de son application Quick Share pour Windows.

Pour aller plus loin
La sécurité d’AirDrop compromise : pourquoi c’est un gros problème

D’ici à ce que tous les systèmes soient bien mis à jour et protégés, la méthode la plus efficace pour se protéger reste de basculer le partage AirDrop et Quick Share en mode « Contacts uniquement » plutôt que sur « Tout le monde ». Et tant pis pour l’interopérabilité AirDrop / Quick Share pour le moment.


Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.

Recherche IA boostée par
Perplexity