Des failles critiques dans les transferts de proximité
Une équipe de chercheurs en sécurité informatique a mis au jour un ensemble de six vulnérabilités affectant les protocoles de transfert de fichiers par proximité AirDrop (Apple) et Quick Share (Samsung/Google). Ces découvertes, présentées dans une étude intitulée « Protocol Prying », révèlent que les deux systèmes, utilisés par plus de cinq milliards d'appareils dans le monde, présentent des défauts de sécurité exploitables à distance, sans que l'utilisateur cible n'ait à effectuer la moindre action.
Les chercheurs, Arash Ale Ebrahim et Nils Ole Tippenhauer, ont procédé à une analyse approfondie du fonctionnement interne de ces protocoles, dont le code source est propriétaire et non documenté. En combinant rétro-ingénierie et tests d'intrusion automatisés (fuzzing), ils ont cartographié les différentes couches logicielles et identifié des points d'entrée vulnérables. Leur outil, nommé AIRFUZZ, a permis de générer des données malformées spécifiquement conçues pour déclencher des comportements anormaux avant même toute étape d'authentification.
Détail des six vulnérabilités
Les failles se répartissent entre les trois écosystèmes. Du côté d'Apple, trois problèmes préalables à l'authentification ont été repérés dans AirDrop sur macOS et iOS : une erreur fatale dans le routeur HTTP (Swift fatalError) provoquant un déni de service, une récursion illimitée lors du traitement de fichiers XML plist, et un déréférencement de pointeur nul dans l'analyseur HTTP/1.1 du framework réseau. Ces trois défauts peuvent être exploités par un attaquant à portée sans que la victime n'ait à accepter un transfert.
Pour Samsung Quick Share, deux vulnérabilités ont été identifiées au niveau du protocole. La première concerne une mauvaise gestion des trames OfflineFrame avant authentification, permettant à un attaquant d'envoyer des commandes non autorisées. La seconde est un contournement du chiffrement D2D (device-to-device) pour trois types de trames, ouvrant la voie à une interception ou une modification des données échangées.
Enfin, la version Windows de Google Quick Share contient une vulnérabilité de type « use-after-free » dans la gestion de la mémoire heap. Google a reconnu le problème et a attribué une prime à l'équipe de recherche pour cette découverte.
Un vecteur d'attaque discret et puissant
La particularité de ces failles réside dans leur nature « zero-click » : l'exploitation ne nécessite aucune action de la part de l'utilisateur ciblé. Les protocoles AirDrop et Quick Share sont conçus pour être démarrés automatiquement dès qu'un appareil compatible est à portée, et ils traitent des données complexes (listes binaires, archives CPIO, buffers Protocol Buffers, poignées de main UKEY2) au sein de processus système privilégiés. Cette surface d'attaque en fait des cibles de choix pour des attaquants cherchant à compromettre un terminal sans laisser de trace.
Les chercheurs soulignent que les trois constructeurs ont été informés de manière responsable de ces vulnérabilités et ont confirmé leur réception. Les correctifs sont en cours d'élaboration, mais aucune date de déploiement n'a encore été communiquée officiellement. En attendant, les utilisateurs sont invités à désactiver les fonctions de partage automatique lorsqu'ils se trouvent dans des lieux publics ou inconnus.
