Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Android : des chercheurs transforment les accéléromètres en espions
Qui enregistrent des suites de chiffres comme ceux des codes PIN

Le , par Gordon Fowler

0PARTAGES

5  0 
Un professeur et un doctorant de l’Université de Pennsylvanie, accompagnés d’un chercheur d’IBM ont développé une preuve de faisabilité (PoC) particulièrement ingénieuse pour mettre au jour une faille de sécurité d’Android qui pourrait s’avérer particulièrement embarrassante.

L’idée générale est d’utiliser l’accéléromètre et les capteurs de mouvements pour déterminer quelle touche tape l’utilisateur sur son écran. Le « truc » vient du fait qu’à chaque fois qu’une « touche » est choisie sur l’écran tactile, le smartphone bouge légèrement dans un sens ou dans l’autre.

Inefficace pour un clavier entier, la méthode s’avère redoutable pour les chiffres.

Baptisé TapLogger, ce Proof of Concept a par exemple été capable d’enregistrer des codes PIN ou des suites de chiffres lors de transactions bancaires téléphoniques.



Les trois experts soulignent que l’accès à l’accéléromètre et au capteur de mouvements n’est pas protégé et qu’il peut donc se faire sans aucune demande d’autorisation à l’utilisateur.

L’exploitation de ces outils dans le cadre d’actions malicieuses pourrait se développer si rien n’est fait pour les sécuriser. « Alors que les applications qui reposent sur les capteurs de mouvement sont en plein boom, leurs implications pour la sécurité et la vie privée ne sont pas encore bien comprises », constatent les auteurs du PoC.



TapLogger nécessite une phase d’apprentissage pour affiner l’identification des touches. Dans ce prototype, cette phase est rendue possible par la nature même de l’application dans laquelle il se cache.

Celle-ci demande à l’utilisateur d’interagir avec l’écran (dans le cadre d’un jeu par exemple) ce qui lui permet d’observer et d’analyser les orientations de l’appareil en fonction des résultats escomptés. Plus le possesseur du téléphone l’utilise, plus l’acuité de TapLogger s’améliore.

Au final, cette preuve de faisabilité n’est pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussite tournant autour des 90 %.

Si elle cible particulièrement Android, les trois experts précisent que l'attaque pourrait parfaitement réussir sur iOS et BlackBerry. « Pourrait », car deux limitations existent actuellement.

iOS ne supporte en effet pas le multitâche (pas encore ?). TapLogger ne pourrait donc pas fonctionner en tache de fond fantôme.

Quant à BlackBerry, la plupart des modèles sont équipés d’un clavier physique, ce qui les met à l’abri. En tout cas jusqu’à la prochaine démonstration de l’équipe qui promet de se pencher plus particulièrement sur le cas du constructeur canadien. Sans oublier que RIM, la société derrière ces téléphones, prend elle aussi le virage du tactile.

TapLogger a donc de quoi faire réfléchir Google, et plus largement tous ses concurrents éditeurs d’OS mobiles.

Le « paper » des développeurs de TapLogger sur le site de l’Université de Pennsylvanie (PDF)

Et vous ?

Impressionné(e) par ce PoC ?

Faut-il « durcir » l’accès à l’accéléromètre et aux différents capteurs des smartphones ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de stardeath
Expert confirmé https://www.developpez.com
Le 30/05/2012 à 19:09
Citation Envoyé par Gordon Fowler Voir le message
Faut-il « durcir » l’accès à l’accéléromètre et aux différentes capteurs des smartphones ?
entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ...
6  0 
Avatar de camus3
Membre éprouvé https://www.developpez.com
Le 30/05/2012 à 21:53
Une technique simple pour contrer ce hack serait de rendre l'ordre d'affichage des numéros aléatoire. Dans le cadre d'un déblocage avec pin , or la rédaction d'un mot de passe par exemple.
6  0 
Avatar de nchal
Membre expérimenté https://www.developpez.com
Le 30/05/2012 à 19:32
Citation Envoyé par Gordon Fowler Voir le message
Impressionné(e) par ce PoC ?
Effectivement, sa à l'air simple comme ça mais il faut avoir l'idée.
Mais je suis beaucoup plus impressionner par :

Citation Envoyé par Gordon Fowler Voir le message
iOS ne supporte en effet pas le multitâche
iOS ne prend pas le multi-tâche ? Je suis vraiment étonné. (en fait, pas trop car je ne peux pas voir Apple mais c'est un autre débat )
3  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 31/05/2012 à 10:35
Citation Envoyé par Uther Voir le message
Le principe est intéressant en soi, mais ces chercheurs ont quelques années de retard : le problème est connu depuis très longtemps maintenant.

J'ai vu des POC sur Android sur l'utilisation de accéléromètre pour deviner les chiffre saisi, il y a au moins deux ans, et ils étaient arrivés à la même conclusion que celui-ci : c'est très efficace avec le clavier numérique, absolument pas pour le clavier alphabétique..
A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.

Au final, cette preuve de faisabilité n’est pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussites tournant autour des 90 %.
Quant au rapport à la vie privée...
Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.
De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)

Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée
C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone...
3  0 
Avatar de David_g
Membre éclairé https://www.developpez.com
Le 31/05/2012 à 17:28
Citation Envoyé par Freem Voir le message
A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.

Quant au rapport à la vie privée...
Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.
De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)

Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée
C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone...
et attendons de voir tout ce qu'on va pouvoir faire comme bétise avec le NFC
3  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 31/05/2012 à 21:21
Citation Envoyé par Freem Voir le message
A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.
Certes l'article ne nie pas cela mais je trouve injuste de présenter ça en grande pompe, alors que les POC précédents avaient des taux de réussite peut-être légèrement inférieur, mais dans le même ordre de grandeur(très supérieurs à 50%).
Il ne s'agit que d'une amélioration mineure de l'algorithme de détection qui se fait au dépend d'une phase de calibrage, qu'il faut déguiser. Pour moi, ça serait même plutôt une régression.

Citation Envoyé par Freem Voir le message
Quant au rapport à la vie privée...
Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.
Si ce souci était si facile a exploiter que cela il aurait été corrigé depuis longtemps. Il y a pas mal de raisons qui font que ça ne fonctionne pas dans la pratique. La principale est que l'application espionne ne sait pas quelle application est utilisée à un instant T et quand le clavier numérique est activé ou pas. 99.9% de ce qui est enregistré est du bruit.
2  0 
Avatar de MiaowZedong
Membre extrêmement actif https://www.developpez.com
Le 01/06/2012 à 9:37
Je ne suis pas sûr que mon bidulephone arrive à detecter la bascule en mode paysage 90% des fois, alors les touches...

Le taux de réussite de leur PoC est peut-être lié au modèle de trucphone qu'ils ont choisit pour leurs essais.
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 30/05/2012 à 19:40
Belle technique, fallait y penser...

iOS ne supporte pas le multi-tâche ? On perd de beaucoup l'intérêt alors de le mettre sur des téléphones à double coeur. Ou alors c'est en prévision d'une future grosse maj de l'os...
0  0 
Avatar de MaximePalmisano
Membre éprouvé https://www.developpez.com
Le 30/05/2012 à 21:33
De mémoire, iOS est bel et bien multi tache. La seule restriction est que les développeurs ne peuvent pas l'exploiter et seuls l'OS et les applis Apple le peuvent.

Ca me choque un peu que l'idée ne sorte que maintenant, mais après peut être que le PoC est assez complexe à metre en oeuvre.

entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ...
C'est le premier truc qui m'est venu a l'esprit. Je pense que la meilleure parade est de secouer le portable dans tous les sens quand on tape un code confidentiel. Je sens qu'on va avoir l'air malin à taper son PIN dans les transports en commun ...
0  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 30/05/2012 à 22:46
Citation Envoyé par MaximePalmisano Voir le message
C'est le premier truc qui m'est venu a l'esprit. Je pense que la meilleure parade est de secouer le portable dans tous les sens quand on tape un code confidentiel. Je sens qu'on va avoir l'air malin à taper son PIN dans les transports en commun ...
Ou simplement le poser pour éviter d'utiliser l'accéléromètre.
L'affiche est moins flagrante ainsi
0  0