IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les applications Android des constructeurs automobiles seraient vulnérables à des attaques, plusieurs voitures connectées menacées,
Selon Kaspersky

Le , par Malick

165PARTAGES

10  0 
Aujourd'hui, force est de constater que la notion de voitures connectées (ou voitures équipées d'un accès Internet) a gagné en popularité, et cela depuis plusieurs années. Ces dernières offrent un plus grand nombre de fonctionnalités, d’options et de confort aux automobilistes à l'instar de la plupart des voitures de luxe actuelles qui intègrent des systèmes et des équipements très sophistiqués. Les constructeurs automobiles, dans le cadre du développement de l'industrie des voitures connectées, proposent également des applications mobiles propriétaires dont l'utilisation permet d'obtenir les coordonnées GPS d'une voiture, de tracer son itinéraire, d'ouvrir ses portes, de démarrer son moteur, etc. Des chercheurs de Kaspersky estiment que les caractéristiques des voitures connectées sont très utiles et sont utilisées par plusieurs millions de personnes dans le monde. Toutefois, ils se sont posé la question de savoir si le vol de voiture serait difficilement réalisable pour un voleur qui arriverait à avoir accès à l'appareil mobile d'une victime qui a installé l'application.

« Il convient de noter que les applications de contrôle des voitures sont devenues très populaires, et les constructeurs des plus grandes marques de véhicules fournissent des applications dont le nombre d'utilisateurs varie entre plusieurs dizaines de milliers et plusieurs millions de personnes », ont déclaré les chercheurs. Pour étayer leurs dires, ces derniers ont cité les applications ci-dessous faisant apparaître le nombre d'installations enregistrées pour chacune d'elle :


Pour apporter des éléments de réponse à leur interrogation, les chercheurs de Kaspersky ont décidé de faire une étude afin de comprendre ce qu'une personne mal intentionnée est capable de faire via l'application, et proposer des solutions aux propriétaires de voitures pour leur permettre d'éviter des situations difficiles. Les chercheurs précisent que pour les besoins de leur étude, ils se sont basés sur plusieurs applications qui contrôlent les voitures de différents fabricants. « Nous ne divulguerons pas les noms des applications, mais il faut noter que les résultats ont été portés à la connaissance des fabricants durant toute la phase de recherche », affirment les chercheurs.

Ainsi, dans le cadre de cette étude, les chercheurs en sécurité ont choisi les applications des constructeurs de véhicules les plus populaires pour faire leurs tests afin d'identifier les vulnérabilités qui peuvent être utilisées par les malfaiteurs pour avoir accès à l'infrastructure d'une voiture. Les chercheurs soutiennent que les caractéristiques de sécurité de chacune des applications ont également été passées en revue ; il s'agit entre autres de :
  • s'assurer de la faisabilité de faire de l’ingénierie inversée du code de l’application pour ensuite être en mesure d'exploiter les failles ;
  • vérifier la robustesse du système d'authentification de l’application notamment en s'assurant que les informations d'identification ne sont pas stockées en clair ;
  • vérifier l'existence d'un système de contrôle d'intégrité de l'application ;
  • etc.

Les résultats de ces tests sont présentés dans le tableau récapitulatif ci-dessous :


App # 1

Pour l'application 1, il faut relever le fait que l'ensemble du processus d'enregistrement des voitures se résume à entrer le nom de l'utilisateur, son mot de passe ainsi que le numéro d'identification de la voiture (VIN : Vehicle Identification Number). Une fois ces informations saisies, l'application affiche à l'utilisateur un code PIN qui devra être saisi avec les méthodes conventionnelles à l'intérieur de la voiture afin de finaliser la procédure permettant de relier le smartphone à la voiture. Selon les chercheurs, cela veut dire que le seul fait de connaître le numéro d'identification ne suffit pas pour déverrouiller les portières de la voiture. Ils affirment aussi que l'application ne vérifie pas si les données relatives à l'utilisateur, en l'occurrence l'identifiant et le mot de passe, sont stockées en clair dans le fichier accounts.xml. Ainsi, si un cheval de Troie accède au smartphone en mode super-utilisateur, alors il devient facile pour un pirate de voler les données.

Poursuivant leurs explications, les chercheurs avancent que l'App # 1 peut être facilement décompilé, et le code peut être facilement lu et compris. Des attaques par phishing devraient permettre à un pirate d'obtenir le nom d'utilisateur et mot de passe de l'utilisateur.

App # 2

D'après les chercheurs de Kaspersky, cette application vous propose d'enregistrer les informations d'identification de l'utilisateur, mais en même temps, elle recommande le chiffrement de l'ensemble du dispositif afin de se prémunir contre les risques de vol. Ils précisent également que l'application présente le même problème qui a été identifié dans l'App # 1 : le nom de l'utilisateur et son mot de passe sont stockés en clair dans le fichier {?????????}.xml (les points d'interrogation représentent des caractères aléatoirement générés par l'application).


Le numéro d'identification du véhicule est quant à lui stocké en clair dans le fichier ci-après :


App # 3

Selon les chercheurs, les voitures connectées à cette application ont en option un module de contrôle qui permet de démarrer le moteur et de déverrouiller les portes. Chaque module installé par le concessionnaire a un autocollant avec un code d'accès qui est remis au propriétaire du véhicule. Cela constitue une protection, il devient impossible de lier la voiture à d'autres informations d'identification, même si son VIN est connu. Toutefois, il existe d'autres possibilités d'attaque : d'une part parce que l'application est de très petite taille étant donné que son APK fait environ 180 kilo-octets ; d'autre part parce que l'ensemble des fichiers logs contenant les données de débogage sont enregistrés sur une carte SD.

App # 4

Les chercheurs en sécurité nous informent que cette application permet de lier le VIN d'une voiture avec toutes les informations d'identification existantes, cependant une demande de validation est envoyée à l'ordinateur de bord du véhicule avant que la connexion ne soit établie. Par conséquent, le piratage de la voiture devient difficile. L'équipe des chercheurs soutient que l'application présente des failles qu'une personne mal intentionnée ayant connaissance du nom d'utilisateur et du mot de passe peut exploiter pour déverrouiller les portes de la voiture. « L'application stocke en texte clair le nom d'utilisateur ainsi qu'une pléthore d'autres informations intéressantes comme la marque de la voiture, le VIN, etc. Tous ces éléments sont enregistrés dans le fichier MyCachingStrategy.xml », ont déclaré les experts en sécurité.

App # 5

Afin de lier une voiture à un smartphone qui a installé l'application, il est nécessaire de connaître le code PIN qui sera affiché par l'ordinateur de bord de la voiture. Cela signifie que, tout comme dans le cas de l'application précédente, la seule connaissance du VIN ne suffit pas ; la voiture doit être accessible à partir de l'intérieur.

App #6

Le rapport mentionne que cette application est faite par des développeurs russes. Cela lui confère une certaine particularité par rapport aux autres applications en ce qui concerne le numéro de téléphone du propriétaire de la voiture qui est en même temps utilisé comme élément d'identification. Avec cette approche, les chercheurs estiment que tous les propriétaires de voitures sont exposés à des risques de piratage, d'autant plus que pour lancer une attaque, il suffit d'exécuter une fonction de l'API Android pour connaître le nom d'utilisateur du smartphone.

App #7

« Pour la dernière application que nous avons étudiée, il faut noter que le nom d'utilisateur et mot de passe sont stockés en clair dans le fichier credentials.xml », ont déclaré les chercheurs.


Si un smartphone est infecté avec succès par un cheval de Troie qui dispose des autorisations de super-utilisateur, le vol des informations devient très facile.

Pour résumer, les chercheurs en sécurité de Kaspersky affirment que « toutes les applications testées présentent des vulnérabilités qui peuvent être exploitées par des hackers ». Il ressort de leur étude que toutes les applications disposent d'une fonctionnalité qui permet d’ouvrir les portes d'une voiture qui y est connectée, et parfois d'en démarrer le moteur en sus. Toutefois, les chercheurs affirment qu'aucune d'elles n'intègre une protection permettant d'interdire l'ingénierie inversée.

Rappelons que l'ingénierie inverse ou inversée, encore appelée rétro-ingénierie, est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou la méthode de fabrication.

En conclusion, les chercheurs soutiennent que les informations d'identification sont stockées en clair ; la détection des permissions root et le contrôle d’intégrité sont ignorés également. « Il n'y a aucun mécanisme de défense dans les applications que nous avons testées dans le cadre de cette étude », a déclaré l'équipe des chercheurs de Kaspersky.

Source : Kaspersky

Et vous ?

Que pensez-vous des conclusions du rapport ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 20/02/2017 à 11:51
Intéressant, mais...
Toutefois, il existe d'autres possibilités d'attaque : d'une part parce que l'application est de très petite taille étant donné que son APK fait environ 180 kilo-octets ; d'autre part parce que l'ensemble des fichiers logs contenant les données de débogage sont enregistrés sur une carte SD.
Suffit donc de bourrer l'application de code inutile pour la rendre sécurisé en augmentant son poids ?

Bon dommage pour les données de debug... Mais après tout dépend de ce qu'il y a dedans tout de même.
Et elles ne sont pas activées de base comme l'indique l'article original...

Les voitures c'est le même combat que les objets connectés...
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 20/02/2017 à 14:56
A ma connaissance les fichiers Xml stockés sur support externe (sdcard) sont accessibles en lecture sans être root.
Et comme la plupart des fichiers ne sont pas cryptés...
0  0