Android : des chercheurs transforment les accéléromètres en espions
Qui enregistrent des suites de chiffres comme ceux des codes PIN

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par Gordon Fowler, Expert Confirmé Sénior
Un professeur et un doctorant de l’Université de Pennsylvanie, accompagnés d’un chercheur d’IBM ont développé une preuve de faisabilité (PoC) particulièrement ingénieuse pour mettre au jour une faille de sécurité d’Android qui pourrait s’avérer particulièrement embarrassante.

L’idée générale est d’utiliser l’accéléromètre et les capteurs de mouvements pour déterminer quelle touche tape l’utilisateur sur son écran. Le « truc » vient du fait qu’à chaque fois qu’une « touche » est choisie sur l’écran tactile, le smartphone bouge légèrement dans un sens ou dans l’autre.

Inefficace pour un clavier entier, la méthode s’avère redoutable pour les chiffres.

Baptisé TapLogger, ce Proof of Concept a par exemple été capable d’enregistrer des codes PIN ou des suites de chiffres lors de transactions bancaires téléphoniques.



Les trois experts soulignent que l’accès à l’accéléromètre et au capteur de mouvements n’est pas protégé et qu’il peut donc se faire sans aucune demande d’autorisation à l’utilisateur.

L’exploitation de ces outils dans le cadre d’actions malicieuses pourrait se développer si rien n’est fait pour les sécuriser. « Alors que les applications qui reposent sur les capteurs de mouvement sont en plein boom, leurs implications pour la sécurité et la vie privée ne sont pas encore bien comprises », constatent les auteurs du PoC.



TapLogger nécessite une phase d’apprentissage pour affiner l’identification des touches. Dans ce prototype, cette phase est rendue possible par la nature même de l’application dans laquelle il se cache.

Celle-ci demande à l’utilisateur d’interagir avec l’écran (dans le cadre d’un jeu par exemple) ce qui lui permet d’observer et d’analyser les orientations de l’appareil en fonction des résultats escomptés. Plus le possesseur du téléphone l’utilise, plus l’acuité de TapLogger s’améliore.

Au final, cette preuve de faisabilité n’est pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussite tournant autour des 90 %.

Si elle cible particulièrement Android, les trois experts précisent que l'attaque pourrait parfaitement réussir sur iOS et BlackBerry. « Pourrait », car deux limitations existent actuellement.

iOS ne supporte en effet pas le multitâche (pas encore ?). TapLogger ne pourrait donc pas fonctionner en tache de fond fantôme.

Quant à BlackBerry, la plupart des modèles sont équipés d’un clavier physique, ce qui les met à l’abri. En tout cas jusqu’à la prochaine démonstration de l’équipe qui promet de se pencher plus particulièrement sur le cas du constructeur canadien. Sans oublier que RIM, la société derrière ces téléphones, prend elle aussi le virage du tactile.

TapLogger a donc de quoi faire réfléchir Google, et plus largement tous ses concurrents éditeurs d’OS mobiles.

Le « paper » des développeurs de TapLogger sur le site de l’Université de Pennsylvanie (PDF)

Et vous ?

Impressionné(e) par ce PoC ?

Faut-il « durcir » l’accès à l’accéléromètre et aux différents capteurs des smartphones ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de tontonnux tontonnux
http://www.developpez.com
Membre Expert
le 31/05/2012 8:46
Citation Envoyé par Dnadiz  Voir le message
Il y a plus simple a mon avis, pourquoi ne pas simplement désactiver temporairement l’accéléromètre pendant l'accès au clavier numérique.

Ça empêcherai le switch de l'interface en mode paysage/portrait non ?

Et puis une interface de saisie de chiffre n'est pas obligatoirement un "clavier"
Avatar de gangsoleil gangsoleil
http://www.developpez.com
Modérateur
le 31/05/2012 10:02
Belle POC, qui montre bien a quel point les constructeurs n'ont absolument pas reflechi aux implications de ce qu'ils faisaient.

Aujourd'hui, on commence a voir deux camps emerger : ceux qui disent "Bah ouais, mais moi j'men fou", et ceux qui pensent que le respect de la vie privee et des informations qui en decoulent est important.
Malheureusement, FB et Google sont bien orientes vers la premiere categorie.
Avatar de Freem Freem
http://www.developpez.com
Expert Confirmé
le 31/05/2012 10:35
Citation Envoyé par Uther  Voir le message
Le principe est intéressant en soi, mais ces chercheurs ont quelques années de retard : le problème est connu depuis très longtemps maintenant.

J'ai vu des POC sur Android sur l'utilisation de accéléromètre pour deviner les chiffre saisi, il y a au moins deux ans, et ils étaient arrivés à la même conclusion que celui-ci : c'est très efficace avec le clavier numérique, absolument pas pour le clavier alphabétique..

A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.
Au final, cette preuve de faisabilité n’est pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussites tournant autour des 90 %.

Quant au rapport à la vie privée...
Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.
De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)

Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée
C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone...
Avatar de hotcryx hotcryx
http://www.developpez.com
Membre chevronné
le 31/05/2012 11:24
bonne invention

c'est bien beau vos manip mais s'il y a un keylogger installé, la protection sera facilement contournée.

Edit: en fait c'est déjà un keylogger
Avatar de anouarattn anouarattn
http://www.developpez.com

le 31/05/2012 17:00
on ne parle pas ici de windows phone !!!!!!

microsoft fait le jeux
Avatar de David_g David_g
http://www.developpez.com
Membre chevronné
le 31/05/2012 17:28
Citation Envoyé par Freem  Voir le message
A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.

Quant au rapport à la vie privée...
Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.
De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)

Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée
C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone...

et attendons de voir tout ce qu'on va pouvoir faire comme bétise avec le NFC
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 31/05/2012 21:21
Citation Envoyé par Freem  Voir le message
A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.

Certes l'article ne nie pas cela mais je trouve injuste de présenter ça en grande pompe, alors que les POC précédents avaient des taux de réussite peut-être légèrement inférieur, mais dans le même ordre de grandeur(très supérieurs à 50%).
Il ne s'agit que d'une amélioration mineure de l'algorithme de détection qui se fait au dépend d'une phase de calibrage, qu'il faut déguiser. Pour moi, ça serait même plutôt une régression.

Citation Envoyé par Freem  Voir le message
Quant au rapport à la vie privée...
Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.

Si ce souci était si facile a exploiter que cela il aurait été corrigé depuis longtemps. Il y a pas mal de raisons qui font que ça ne fonctionne pas dans la pratique. La principale est que l'application espionne ne sait pas quelle application est utilisée à un instant T et quand le clavier numérique est activé ou pas. 99.9% de ce qui est enregistré est du bruit.
Avatar de MiaowZedong MiaowZedong
http://www.developpez.com
Expert Confirmé
le 01/06/2012 9:37
Je ne suis pas sûr que mon bidulephone arrive à detecter la bascule en mode paysage 90% des fois, alors les touches...

Le taux de réussite de leur PoC est peut-être lié au modèle de trucphone qu'ils ont choisit pour leurs essais.
Avatar de Karth Karth
http://www.developpez.com
Membre à l'essai
le 01/06/2012 11:38
@MiaowZedong : ça dépend aussi (et plus probablement) de la qualité de l'implémentation du software destiné à gérer cette bascule

Après on connait depuis assez longtemps les pads numériques à disposition aléatoire, ça serait une réponse assez cheap mais efficace à ce type d'attaque, très créative au demeurant
Edit : ah, déjà dit
Avatar de Pelote2012 Pelote2012
http://www.developpez.com
Membre Expert
le 11/06/2012 10:07
Pour contourner cela, il ya plusieurs idées simples :
- ne pas mettre les chiffres dans le même ordre (un peu casse pied) selon l'importance de l'appli (comme accès aux comptes de la caisse d'épargne...)
- rajouter des lettres, ça complique mais d'un autre côté les codes d'accès sont plus sécurisés
- ... et certinement d'autres méthodes
Ce genre d'astuce sont déjà utilisés sur le net actuellement.
La qestion est faut-il sécurisé l'appareil où l'appli. Je pencherai plus pour l'appli. Car s'appuyer sur la sécurité des autres n'est pas terrible comme idée.
Mais, je pense aussi que la politique du "je m'en fou" de ces POC finira par leur retomber dessus tôt ou tard
Avatar de shenron666 shenron666
http://www.developpez.com
Expert Confirmé Sénior
le 11/06/2012 10:19
Pour ma part, ça fait longtemps que j'utilise un schéma de déverrouillage en lieu et place des chiffres trop visibles dans le métro

chaque jour, je découvre 1 ou 2 code pin par dessus l'épaule des voyageurs inconscients
Offres d'emploi IT
Chefs de projet infrastructure h/f
CDI
Sogeti - Régions - Nord - Basse Normandie - Lille (59000)
Parue le 27/10/2014
Développeur java h/f
CDI
Auchan E-commerce - Nord Pas-de-Calais - Villeneuve d'Ascq (59650)
Parue le 02/10/2014
Développeur scala
CDI
Mobiskill - Ile de France - Paris (75000)
Parue le 29/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula