Android : des chercheurs transforment les accéléromètres en espions Qui enregistrent des suites de chiffres comme ceux des codes PIN 0PARTAGES 5 0 Un professeur et un doctorant de lUniversité de Pennsylvanie, accompagnés dun chercheur dIBM ont développé une preuve de faisabilité (PoC) particulièrement ingénieuse pour mettre au jour une faille de sécurité dAndroid qui pourrait savérer particulièrement embarrassante.



Lidée générale est dutiliser laccéléromètre et les capteurs de mouvements pour déterminer quelle touche tape lutilisateur sur son écran. Le « truc » vient du fait quà chaque fois quune « touche » est choisie sur lécran tactile, le smartphone bouge légèrement dans un sens ou dans lautre.



Inefficace pour un clavier entier, la méthode savère redoutable pour les chiffres.



Baptisé TapLogger, ce Proof of Concept a par exemple été capable denregistrer des codes PIN ou des suites de chiffres lors de transactions bancaires téléphoniques.







Les trois experts soulignent que laccès à laccéléromètre et au capteur de mouvements nest pas protégé et quil peut donc se faire sans aucune demande dautorisation à lutilisateur.



Lexploitation de ces outils dans le cadre dactions malicieuses pourrait se développer si rien nest fait pour les sécuriser. « Alors que les applications qui reposent sur les capteurs de mouvement sont en plein boom, leurs implications pour la sécurité et la vie privée ne sont pas encore bien comprises », constatent les auteurs du PoC.







TapLogger nécessite une phase dapprentissage pour affiner lidentification des touches. Dans ce prototype, cette phase est rendue possible par la nature même de lapplication dans laquelle il se cache.



Celle-ci demande à lutilisateur dinteragir avec lécran (dans le cadre dun jeu par exemple) ce qui lui permet dobserver et danalyser les orientations de lappareil en fonction des résultats escomptés. Plus le possesseur du téléphone lutilise, plus lacuité de TapLogger saméliore.



Au final, cette preuve de faisabilité nest pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussite tournant autour des 90 %.



Si elle cible particulièrement Android, les trois experts précisent que l'attaque pourrait parfaitement réussir sur iOS et BlackBerry. « Pourrait », car deux limitations existent actuellement.



iOS ne supporte en effet pas le multitâche (pas encore ?). TapLogger ne pourrait donc pas fonctionner en tache de fond fantôme.



Quant à BlackBerry, la plupart des modèles sont équipés dun clavier physique, ce qui les met à labri. En tout cas jusquà la prochaine démonstration de léquipe qui promet de se pencher plus particulièrement sur le cas du constructeur canadien. Sans oublier que RIM, la société derrière ces téléphones, prend elle aussi le virage du tactile.



TapLogger a donc de quoi faire réfléchir Google, et plus largement tous ses concurrents éditeurs dOS mobiles.



Le « paper » des développeurs de TapLogger sur le site de lUniversité de Pennsylvanie (PDF)



Et vous ?



Impressionné(e) par ce PoC ?



Faut-il « durcir » laccès à laccéléromètre et aux différents capteurs des smartphones ? Un professeur et un doctorant de lUniversité de Pennsylvanie, accompagnés dun chercheur dIBM ont développé une preuve de faisabilité (PoC) particulièrement ingénieuse pour mettre au jour une faille de sécurité dAndroid qui pourrait savérer particulièrement embarrassante.Lidée générale est dutiliser laccéléromètre et les capteurs de mouvements pour déterminer quelle touche tape lutilisateur sur son écran. Le « truc » vient du fait quà chaque fois quune « touche » est choisie sur lécran tactile, le smartphone bouge légèrement dans un sens ou dans lautre.Inefficace pour un clavier entier, la méthode savère redoutable pour les chiffres.Baptisé TapLogger, ce Proof of Concept a par exemple été capable denregistrer des codes PIN ou des suites de chiffres lors de transactions bancaires téléphoniques.Les trois experts soulignent que laccès à laccéléromètre et au capteur de mouvements nest pas protégé et quil peut donc se faire sans aucune demande dautorisation à lutilisateur.Lexploitation de ces outils dans le cadre dactions malicieuses pourrait se développer si rien nest fait pour les sécuriser., constatent les auteurs du PoC.TapLogger nécessite une phase dapprentissage pour affiner lidentification des touches. Dans ce prototype, cette phase est rendue possible par la nature même de lapplication dans laquelle il se cache.Celle-ci demande à lutilisateur dinteragir avec lécran (dans le cadre dun jeu par exemple) ce qui lui permet dobserver et danalyser les orientations de lappareil en fonction des résultats escomptés. Plus le possesseur du téléphone lutilise, plus lacuité de TapLogger saméliore.Au final, cette preuve de faisabilité nest pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussite tournant autour des 90 %.Si elle cible particulièrement Android, les trois experts précisent que l'attaque pourrait parfaitement réussir sur iOS et BlackBerry., car deux limitations existent actuellement.iOS ne supporte en effet pas le multitâche (pas encore ?). TapLogger ne pourrait donc pas fonctionner en tache de fond fantôme.Quant à BlackBerry, la plupart des modèles sont équipés dun clavier physique, ce qui les met à labri. En tout cas jusquà la prochaine démonstration de léquipe qui promet de se pencher plus particulièrement sur le cas du constructeur canadien. Sans oublier que RIM, la société derrière ces téléphones, prend elle aussi le virage du tactile.TapLogger a donc de quoi faire réfléchir Google, et plus largement tous ses concurrents éditeurs dOS mobiles.(PDF)Impressionné(e) par ce PoC ?Faut-il « durcir » laccès à laccéléromètre et aux différents capteurs des smartphones ? Une erreur dans cette actualité ? Signalez-le nous ! Votre nom : Votre e-mail : Décrivez l'erreur que vous souhaitez porter à notre connaissance : 20 commentaires Poster une réponse Signaler un problème Les mieux notés Les plus récents Ordre chronologique Membre expert https://www.developpez.com Envoyé par Gordon Fowler Envoyé par Faut-il « durcir » laccès à laccéléromètre et aux différentes capteurs des smartphones ? Faut-il « durcir » laccès à laccéléromètre et aux différentes capteurs des smartphones ? 6 0 entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ... Membre éprouvé https://www.developpez.com 6 0 Une technique simple pour contrer ce hack serait de rendre l'ordre d'affichage des numéros aléatoire. Dans le cadre d'un déblocage avec pin , or la rédaction d'un mot de passe par exemple. Membre expérimenté https://www.developpez.com Envoyé par Gordon Fowler Envoyé par Impressionné(e) par ce PoC ?

Impressionné(e) par ce PoC ?

Mais je suis beaucoup plus impressionner par :



Envoyé par Gordon Fowler Envoyé par iOS ne supporte en effet pas le multitâche ) 3 0 Effectivement, sa à l'air simple comme ça mais il faut avoir l'idée.Mais je suis beaucoup plus impressionner par :iOS ne prend pas le multi-tâche ? Je suis vraiment étonné. (en fait, pas trop car je ne peux pas voir Apple mais c'est un autre débat Membre émérite https://www.developpez.com Envoyé par Uther Envoyé par Le principe est intéressant en soi, mais ces chercheurs ont quelques années de retard : le problème est connu depuis très longtemps maintenant.



J'ai vu des POC sur Android sur l'utilisation de accéléromètre pour deviner les chiffre saisi, il y a au moins deux ans, et ils étaient arrivés à la même conclusion que celui-ci : c'est très efficace avec le clavier numérique, absolument pas pour le clavier alphabétique..



Au final, cette preuve de faisabilité nest pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussites tournant autour des 90 %. Au final, cette preuve de faisabilité nest pas la première à utiliser ce type de technique. Mais elle est une des plus efficaces avec des taux de réussites tournant autour des 90 %.

Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.

Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.

De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)



Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée

C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone... 3 0 A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.Quant au rapport à la vie privée...Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arroséeC'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone... Membre éclairé https://www.developpez.com Envoyé par Freem Envoyé par



Quant au rapport à la vie privée...

Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.

Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.

De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)



Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arrosée

C'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone... A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.Quant au rapport à la vie privée...Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines.Ou pas, puisqu'ils se diront "la banque s'est encore plantée". Enfin, je constate que les gens se remettent de moins en moins en cause, et je ne parle pas de remettre en cause leur usage des technologie.De nos jours, on a l'impression (en tout cas, c'est ce que JE ressens) que les NTIC nous donnent des possibilités sans contre partie, parce que "c'est virtuel". (cela dis, ceci est un autre débat)Cela dis, c'est une excellente chose, les employés de banque doivent se sentir plus à l'abri, il n'y a plus besoin de les attaquer avec un armement de dingue, il suffit de coller une saloperie sur le téléphone de quelqu'un au cours d'une soirée arroséeC'est un grand pas vers la diminution de la violence, on devrait leur filer un prix à ces constructeurs de trucphone... 3 0 et attendons de voir tout ce qu'on va pouvoir faire comme bétise avec le NFC Expert éminent sénior https://www.developpez.com Envoyé par Freem Envoyé par A priori, ce n'est pas nié dans cet article. Ce qui pose vraiment problème ici, c'est simplement que le taux de réussite est extrêmement élevé.

Il ne s'agit que d'une amélioration mineure de l'algorithme de détection qui se fait au dépend d'une phase de calibrage, qu'il faut déguiser. Pour moi, ça serait même plutôt une régression.



Envoyé par Freem Envoyé par Quant au rapport à la vie privée...

Bah, je pense que quand les gens verront leurs comptes en banque se vider sans comprendre pourquoi ils s'interrogeront sur ces petits appareils magiques qui leur permettent d'interagir avec leur banque dans des conditions complètement malsaines. 2 0 Certes l'article ne nie pas cela mais je trouve injuste de présenter ça en grande pompe, alors que les POC précédents avaient des taux de réussite peut-être légèrement inférieur, mais dans le même ordre de grandeur(très supérieurs à 50%).Il ne s'agit que d'une amélioration mineure de l'algorithme de détection qui se fait au dépend d'une phase de calibrage, qu'il faut déguiser. Pour moi, ça serait même plutôt une régression.Si ce souci était si facile a exploiter que cela il aurait été corrigé depuis longtemps. Il y a pas mal de raisons qui font que ça ne fonctionne pas dans la pratique. La principale est que l'application espionne ne sait pas quelle application est utilisée à un instant T et quand le clavier numérique est activé ou pas. 99.9% de ce qui est enregistré est du bruit. Membre extrêmement actif https://www.developpez.com



Le taux de réussite de leur PoC est peut-être lié au modèle de trucphone qu'ils ont choisit pour leurs essais. 2 0 Je ne suis pas sûr que mon bidulephone arrive à detecter la bascule en mode paysage 90% des fois, alors les touches...Le taux de réussite de leur PoC est peut-être lié au modèle de trucphone qu'ils ont choisit pour leurs essais. Expert éminent https://www.developpez.com



iOS ne supporte pas le multi-tâche ? On perd de beaucoup l'intérêt alors de le mettre sur des téléphones à double coeur. Ou alors c'est en prévision d'une future grosse maj de l'os... 0 0 Belle technique, fallait y penser...iOS ne supporte pas le multi-tâche ? On perd de beaucoup l'intérêt alors de le mettre sur des téléphones à double coeur. Ou alors c'est en prévision d'une future grosse maj de l'os... Membre éprouvé https://www.developpez.com



Ca me choque un peu que l'idée ne sorte que maintenant, mais après peut être que le PoC est assez complexe à metre en oeuvre.



entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ... entre les players multimédia demandant l'accès à la liste de contact, les métronomes demandant un accès un internet, bref des applications demandant des droits qu'ils n'ont pas la légitimité d'en faire usage, les utilisateurs que je connais cliquent systématiquement sur autoriser, malheureusement, il y aurait déjà du ménage à faire avant de penser aux capteurs ... 0 0 De mémoire, iOS est bel et bien multi tache. La seule restriction est que les développeurs ne peuvent pas l'exploiter et seuls l'OS et les applis Apple le peuvent.Ca me choque un peu que l'idée ne sorte que maintenant, mais après peut être que le PoC est assez complexe à metre en oeuvre.C'est le premier truc qui m'est venu a l'esprit. Je pense que la meilleure parade est de secouer le portable dans tous les sens quand on tape un code confidentiel. Je sens qu'on va avoir l'air malin à taper son PIN dans les transports en commun ... En attente de confirmation mail https://www.developpez.com Envoyé par MaximePalmisano Envoyé par C'est le premier truc qui m'est venu a l'esprit. Je pense que la meilleure parade est de secouer le portable dans tous les sens quand on tape un code confidentiel. Je sens qu'on va avoir l'air malin à taper son PIN dans les transports en commun ...

L'affiche est moins flagrante ainsi 0 0 Ou simplement le poser pour éviter d'utiliser l'accéléromètre.L'affiche est moins flagrante ainsi Poster une réponse Signaler un problème

