+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Apple Tag : Faille XSS (/showthread.php?tid=3871)
Apple Tag : Faille XSS - PoStiferZ - 29-11-2021
Une faille de sécurité est présente dans le AirTag de Apple. Une expert en sécurité à réussi à injecter du
code malveillant dans ce dernier. Son utilisation pourrait permettre à un pirate de réaliser du phishing ciblé.
Un Airtag est une petite capsule fixable sur un porte clé, porte feuille ou autre pour pouvoir le retrouver en cas de perte. Ces mini balises fonctionnent en exploitant le bluetooth et le wideband.
Le propriétaire d'un airtag peut injecter un code malveillant grâce à une faille XSS présente dans le champ pour saisir son numéro de téléphone.
Cependant un airtag perdu peut être scanner pour obtenir le numéro de téléphone du propriétaire et en même temps, un lien icloud généré par l'AirTag s’affiche pour signaler la perte du Apple Tag au propriétaire.
Dans une situation concrète, un AirTag retrouvé et scanné par une personne, va alors exécuter le code et afficher une page Web concoctée par le pirate et se faisant passer pour iCloud. L'objectif est que la personne s'y connecte et y saisit ses identifiants.
![[Image: appleTag.jpg]](https://i.ibb.co/h8qLcs3/appleTag.jpg)