Developpez.com

Le Club des Développeurs et IT Pro

« Je peux m'emparer de votre mobile sous Android », affirme un ancien de la NSA

Qui exploite la gestion du NFC dans l'OS

Le 2012-08-28 13:04:10, par tarikbenmerar, Chroniqueur Actualités
En collaboration avec Gordon Fowler

Edit de 17h30 : ajout de précisions sur la méthode d'infection liée à une faille du navigateur

La célèbre conférence de hacking du Black Hat, a été particulièrement remplie du côté de la plateforme Android, avec des attaques.

Certains experts en sécurité, à l'image de Sean Shulte de Trustwave's SpiderLabs, confirment que « Google a fait des progrès mais les créateurs de logiciels malicieux avancent à grand pas ». Et le nombre de failles mises à jour augmente avec la popularité grandissante de l’OS qui attire de plus en plus les regards des hackers qu’ils soient « White Hat » ou « Black Hat ».

Côté « White Hat », la plus remarquable des attaques a été présentée par Charlie Miller, chercheur chez Accuvant, et ancien analyste technique à la NSA (National Security Agency), où il a servi pendant 5 ans.

« Je peux m'emparer de votre mobile », lance Charlie Miller, un brin provocateur. Son attaque exploite le NFC (Near Field Communication), un dispositif qui permet l'échange de photos, des données ou le paiement par exemple, en rapprochant le mobile à quelques centimètres d’un autre dispositif NFC (un autre mobile, terminal de paiement équipé d’une puce appropriée, etc.).

Le problème pour Android réside dans le fait que le mobile lance une action qui utilise communication NFC sans demander la permission à l'utilisateur. Une anomalie que Charlie Miller a utilisé en créant un dispositif de la taille d'un timbre-poste, qui peut donc être caché dans des endroits insoupçonnés. Dès qu'un Smartphone Android passe à proximité de cette « planque », il s'infecte automatiquement.

Ici, la technique consiste à fournir une URL par NFC, le navigateur d'Android s'ouvre alors et affiche une page qui exploite une faille mise à jour en février par la société CrowdStrike, corrigée depuis par Google mais dont le patch n'a pas encore été appliquée et livré par tous les opérateurs.

L'auteur a communiqué ses recherches à Google qui a confirmé les avoir reçues.

Google a bien conscience de l’importance de la sécurité. Les applications professionnelles – via la consumérisation de l’IT et le Bring Your Own Device – sont l’avenir de sa plateforme.

Selon Marc Maiffret, directeur technique de l'entreprise BeyondTrust, spécialiste sur le sujet : « Google a ajouté des fonctionnalités de sécurité très importantes ». Problème, d’après lui « personne ne les utilise ». En cause, des mises à jour distribuées trop lentement par tous les acteurs qui constituent la chaîne entre Google et l’utilisateur.

« En étant optimiste, Google peut résoudre ces problèmes de sécurité très rapidement », explique pour sa part Nicholas Peroco, vice président de Trustwave's SpiderLabs, à l’agence Reuters. « Mais, pour l'instant, Android c'est le Far West sauvage ».

En attendant la mise à jour de Google – et son déploiement effectif par les opérateurs – le mieux pour contrer l’attaque de Charlie Miller est donc de prudemment désactiver le NFC. Ce qui - objectivement - ne devrait pas trop porter préjudices aux utilisateurs vu l’utilisation de cette technologie, certes en plein devenir, mais encore (très ?) confidentielle.

Source
  Discussion forum
11 commentaires
  • Hizin
    Modérateur
    Ou sinon, on désactive cette fonctionnalité rarement utilisée, et on l'active au besoin (2-3 touchers).
    le 28/08/2012 à 17:49
  • erwanlb
    Inactif
    Envoyé par Se7h22
    Et pourtant l'iPhone est le seul téléphone aillant la faille des SMS
    Normal qu'on retrouve pas cette faille ailleurs....Apple a breveté la faille !
    le 29/08/2012 à 11:39
  • erwanlb
    Inactif
    Envoyé par alex_vino
    Sans prendre partie pour un OS mobile ou un autre, je trouve que Google n'a jamais fait d'effort en sécurité. Ils sont la pour récolter l'argent mais le travail ils le laissent toujours aux autres.

    Apres certains vont dire que c'est de par sa popularité que les hackers visent la plateforme Android. Je leur répond "et iOS?". IOS est drolement simple a configuré et sauf jailbreakage, la sécurité est tres bonne.

    Maintenant on n'entend pas beaucoup de problemes de sécurité du coté Windows Phone, mais sur ce point je suis d'accord que c'est en partie du aux faibles parts de marché et surtout a la remise a plat de l'OS bientot qui devrait presque mettre a néant tout le travail réalisé jusqu'a présent par les hackers.

    Mais concernant Android, rien que pour l'aspect sécurité je n'en acheterais jamais.
    Je leur souhaite de pouvoir corriger ces gros problemes au plus vite.
    "Sauf jailbreakage"...ça veut tout dire sur la sécurité supposée de iOS....

    Et sinon le mr il fait comment pour s'emparer d'un mobile sans NFC ? Parce que la du coup ça fait pas une majorité de personnes...
    le 28/08/2012 à 15:05
  • Ryu2000
    Membre extrêmement actif
    Ouais pour exploiter la faille faut déjà y aller.
    Le NFC n'est activé que lorsque l'écran est activé, ensuite ça capte les tags à moins de 5cm.

    Et même si un téléphone scan son système ce n'est pas dis du tout que la faille va être exploité...
    Parce qu'en plus il faut une connexion internet...

    Mais c'est sûre ça ne risque pas d'arriver à Apple, puisqu'ils ne font pas encore dans le NFC.

    Vous avez beaucoup plus de chance de vous faire voler votre carte bancaire physiquement, que de scanner sans le savoir un système qui va essayer de piéger votre téléphone.
    le 28/08/2012 à 17:32
  • tchize_
    Expert éminent sénior
    de mémoire, il faut non seulement pousser des données par NFC (et on est d'accord, pas normal de le phone les accepte sans poser de question), mais en plus des données corrompue qui exploitent une faille dans le logiciel d'affichage de ces datas. En l'occurence ici, la technique consiste à fournir une URL par NFC, le browser d'android s'ouvre et affiche la page. Ensuite, derrière, il faut que le browser aie une faille de sécurité que le serveur web tente d'exploiter.

    Ca fait beaucoup de si mais il est vrai que le rythme des mises à jour du téléphone n'aide pas à patcher ces si

    Quand à la comparaison avec IOS, il y a aussi régulièrement des mises à jour de sécurité sur ios, donc oui, cet OS est aussi sensible à des attaques. La différence c'est que l'éditeur de l'OS et du téléphone sont une seule et même personnes -> les téléphones sont patchés régulièrement et globalement, l'utilisateur et peut être plus sécurisé

    Tout ça confirme au moins une chose: ne confiez pas votre argent à votre téléphone! (sms ebanking, paiement nfc, ...)
    le 28/08/2012 à 16:40
  • Se7h22
    Membre confirmé
    Envoyé par alex_vino
    Sans prendre partie pour un OS mobile ou un autre, je trouve que Google n'a jamais fait d'effort en sécurité. Ils sont la pour récolter l'argent mais le travail ils le laissent toujours aux autres.

    Apres certains vont dire que c'est de par sa popularité que les hackers visent la plateforme Android. Je leur répond "et iOS?". IOS est drolement simple a configuré et sauf jailbreakage, la sécurité est tres bonne.

    Maintenant on n'entend pas beaucoup de problemes de sécurité du coté Windows Phone, mais sur ce point je suis d'accord que c'est en partie du aux faibles parts de marché et surtout a la remise a plat de l'OS bientot qui devrait presque mettre a néant tout le travail réalisé jusqu'a présent par les hackers.

    Mais concernant Android, rien que pour l'aspect sécurité je n'en acheterais jamais.
    Je leur souhaite de pouvoir corriger ces gros problemes au plus vite.
    Et pourtant l'iPhone est le seul téléphone aillant la faille des SMS

    Sinon, comme il a été dit, les membres de la NSA semblent être des personnes aillant un bon niveau en sécurité informatique. Pointer du doit Android plus qu'un autre, montre juste que cette personne est soit plus soucieux au niveau de la sécurité d'Android, pour cause du taux d'utilisation, ou par-ce-qu'il aime cet OS.
    Ou alors c'est un message de hater, mais j'en doute...

    Après cela ne confirme pas pour autant que les autres OS mobiles soit mieux sécurisés qu'Android...
    le 28/08/2012 à 17:31
  • David_g
    Membre éclairé
    Envoyé par Se7h22
    Pointer du doit Android plus qu'un autre, montre juste que cette personne est soit plus soucieux au niveau de la sécurité d'Android, pour cause du taux d'utilisation, ou par-ce-qu'il aime cet OS.
    Ou alors c'est un message de hater, mais j'en doute...

    Après cela ne confirme pas pour autant que les autres OS mobiles soit mieux sécurisés qu'Android...
    Il fait des exploits de sécurité sur un peu de tout (et d'ailleurs il est plus connu pour son travail sur iOs and co).
    le 29/08/2012 à 9:45
  • manticore
    Membre confirmé
    Charlie Miller est une des références en matière de sécurité Informatique.

    Son boulot est justement de trouver des failles Il le fait pas pendant son temps libre mais pendant son travail.

    Code : 
    Apres certains vont dire que c'est de par sa popularité que les hackers visent la plateforme Android. Je leur répond "et iOS?". IOS est drolement simple a configuré et sauf jailbreakage, la sécurité est tres bonne.
    Sans vouloir troller, c'est un peu léger iOS n'intégrait aucune mais je dis bien aucune sécurité dans sa version 1.0. Contrairement à d'autres systèmes

    De plus les jailbreaks se font comment ? Grâce à une faille de sécurité, le fameux exploit de jailbreakme avec le pdf alliait pas moins de 3-4 failles.

    Ce qui était sympa c'est qu'iOS se connectait automatiquement à tous les points d'accès dont le SSID était connu, et ouvrait une page web chez apple (certainement pour les statistiques). Donc de faire ouvrir un pdf, donc de rooter ou de faire ce que l'on souhaite sur l'Iphone. Et cela simplement en mettant un hot-spot dans une rue avec un nom commun (ex. freewifi ).

    Cette faille est encore disponible et non patché jusqu'à la version 3.x (je sais plus jusqu'à laquelle elle s'applique).

    Le problème pour Android réside dans le fait que le mobile lance une action qui utilise communication NFC sans demander la permission à l'utilisateur. Une anomalie que Charlie Miller a utilisé en créant un dispositif de la taille d'un timbre-poste, qui peut donc être caché dans des endroits insoupçonnés. Dès qu'un Smartphone Android passe à proximité de cette « planque », il s'infecte automatiquement.

    Ici, la technique consiste à fournir une URL par NFC, le navigateur d'Android s'ouvre alors et affiche une page qui exploite une faille mise à jour en février par la société CrowdStrike, corrigée depuis par Google mais dont le patch n'a pas encore été appliquée et livré par tous les opérateurs.
    Pour moi la grande erreur de google est vraiment de ne pas contrôler les mises à jours. Mais de les laisser aux constructeurs. Car les mises à jours se doivent d'être très réactive ce qui n'est clairement pas le cas. [Troll] D'ailleurs le principale concurrent n'est pas un grand spécialiste des mises à jour de sécurité [/Troll]

    Tout ça confirme au moins une chose: ne confiez pas votre argent à votre téléphone! (sms ebanking, paiement nfc, ...)
    +1, les systèmes mobiles (smartphones) me paraissent trop jeunes pour s'occuper de chose si importante que notre argent de poche.
    le 29/08/2012 à 11:32
  • Jimmy_
    Membre éprouvé
    Déjà la NSA capte tout ce que tu peux dire avec ton portable, alors détourner le NFC, ils font ça entre midi et deux.
    C'est juste la plus grosse agence de recherche en sécurité au monde, avec des moyens colossaux.
    Décidément cette techno va avoir du mal à démarrer.
    le 28/08/2012 à 14:02
  • cbleas
    Membre éprouvé


    Sans prendre partie pour un OS mobile ou un autre, je trouve que Google n'a jamais fait d'effort en sécurité. Ils sont la pour récolter l'argent mais le travail ils le laissent toujours aux autres.
    si si je me rappel il y a pas si longtemps de cela un de leur chercheurs cherchait et dévoilai les failles de microsoft. Peut etre qu'il devrait passer son temps libre à chercher les failles de son entreprise.
    le 28/08/2012 à 18:34
  Poster une réponse