Le Flipper Zero, dont on a déjà parlé sur Frandroid, est un appareil aux capacités multiples. Doté d’une puce ARM légère, d’une mémoire Flash et d’une mémoire SRAM, cet appareil dispose également d’un écran LCD monochrome et de divers boutons, dont un bouton retour. Alimenté par une batterie rechargeable, le Flipper Zero est équipé de fonctionnalités sans fil, allant du NFC à l’émetteur infrarouge, en passant par une puce RFID et bien d’autres.
Grâce à ses capacités, le Flipper Zero peut lire, copier et émuler des étiquettes RFID et NFC, des télécommandes et des clés numériques. Bien qu’il soit entièrement open source, il est complexe de reproduire ses fonctions sans des connaissances solides en électronique. Il présente un potentiel malveillant, mais il possède des limites, par exemple, il ne peut pas copier des données NFC chiffrées. Malgré tout, cet appareil est parfaitement légal et a été conçu principalement pour aider les professionnels de la sécurité à réaliser des tests.
Une nouvelle exploitation du Flipper Zero inonde les iPhone de pop-ups
Un chercheur en sécurité a découvert comment utiliser le Flipper Zero pour perturber les iPhone à proximité. En modifiant le firmware du Flipper Zero, il a été en mesure d’émettre des signaux spéciaux via le protocole Bluetooth Low Energy (BLE), rendant les iPhone à proximité presque inutilisables en les inondant de pop-ups. L’expérience a été décrite lors de la conférence Def Con à Las Vegas en août 2023.
Le chercheur a utilisé le Flipper Zero, avec un Raspberry Pi Zero 2 W, deux antennes, un adaptateur Bluetooth compatible Linux et d’une batterie portable. Grâce à ce kit, le chercheur a pu imiter une Apple TV et spammer les appareils à proximité.
Ces signaux sont couramment utilisés pour des connexions entre appareils Apple ou des transferts de fichiers via AirDrop. L’attaque identifiée exploite ce protocole pour envoyer des demandes de connexion à divers appareils Apple. En bref, un utilisateur malintentionné pourrait saturer un iPhone avec des pop-ups, rendant le dispositif presque inutilisable, une forme d’attaque par déni de service.
Techcrunch a pu reproduire l’attaque, démontrant qu’elle fonctionne indépendamment du fait que Bluetooth soit activé ou non. La seule solution pour éviter ces pop-ups était de désactiver complètement le Bluetooth. Le chercheur a également suggéré qu’avec le bon équipement, cette attaque pourrait être réalisée sur une distance considérable, il évoque plusieurs milliers de mètres.
Est-ce que c’est inquiétant ?
L’efficacité de cette attaque soulève de sérieuses préoccupations. Bien que le Flipper Zero ait été conçu comme un outil pour les professionnels de la sécurité, son détournement à des fins malveillantes montre combien il est important pour les fabricants d’appareils et les développeurs de logiciels de rester vigilants et de rechercher activement de telles vulnérabilités.
L’ampleur potentielle de l’attaque, notamment avec des signaux Bluetooth amplifiés, est inquiétante. Si elle était exploitée par des acteurs malveillants à grande échelle, cela pourrait causer des perturbations majeures. Le chercheur a prudemment choisi de ne pas donner tous les détails de la technique utilisée, conscient des dangers potentiels. Apple va certainement apporter des modifications au fonctionnement des iPhone.
Apple a déjà pris des mesures pour contrer des utilisations inappropriées d’AirDrop. En effet, suite à des incidents où des individus utilisaient AirDrop pour envoyer de manière aléatoire des photos à des inconnus à proximité — souvent dans l’intention de perturber ou de choquer, ou simplement pour des campagnes de pub — la firme de Cupertino a modifié le fonctionnement d’AirDrop. Elle a ainsi introduit une option permettant aux utilisateurs de désactiver complètement ce service ou de le limiter uniquement à leurs contacts, offrant ainsi une protection supplémentaire.
En dépit des controverses et des débats qui entourent le Flipper Zero, il semble que la demande pour cet appareil reste intacte. Fait surprenant, ou peut-être pas tant que cela, l’appareil est toujours disponible à l’achat sur des plateformes comme Amazon. Avec un prix flirtant avec les 200 euros.
Certains liens de cet article sont affiliés. On vous explique tout ici.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix