S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Android : TapLogger, un POC qui devine ce que vous écrivez

Un POC qui pique

Des chercheurs ont uni leurs efforts pour créer un proof-of-concept de cheval de Troie sur Android capable de voler des données. Si la finalité n’a rien de novatrice, la solution imaginée pour y parvenir est beaucoup plus originale : le troyen utilise les données émises par les différents capteurs du téléphone pour deviner ce qui y est saisi.

galaxy nexus

De si petits gestes...

L’université de l’état de Pennsylvanie (PSU) et IBM se sont associés pour concevoir un PoC à la méthodologie peu banale. Appelé TapLogger, il vise les données émises par des capteurs que l’on trouve désormais sur de nombreux smartphones, tels que le gyroscope, l’accéléromètre et d’autres pour l’orientation. Une fois en leur possession, il peut les mixer et réaliser des calculs pour déchiffrer les zones que le doigt de l’utilisateur a réellement touchées.

Le souci principal pour TapLogger est de savoir précisément sur quel téléphone il se trouve. C’est pourquoi il se présente sous la forme d’un jeu où l’on retourne des séries de deux cartes pour découvrir des paires identiques. Le jeu demande à l’utilisateur de toucher de nombreuses fois de l’écran. Selon le rapport de recherche, 30 rounds du jeu suffisent à enregistrer une base de plus de 400 évènements tactiles, chacun donnant lieu à d’infimes variations de l’inclinaison, de la hauteur, etc.

Mais pourquoi l’application accède-t-elle à ces données ? Parce qu’Android le lui permet. Les données issues des capteurs ne rentrent pas dans le modèle de sécurité et sont donc accessibles à toutes les applications qui en ont besoin et ce, quel que soit le niveau de permission.

TapLogger est capable ensuite de comparer les résultats obtenus à une base de données. Conséquence: l’application devine quel est le téléphone utilisé et peut donc ensuite s’adapter à ses mouvements. À partir de ce moment, l’entrainement de TapLogger est terminé et le cheval de Troie galope en phase « d’exploitation ».

L'utilisateur trahi par les capteurs

Puisque le troyen connait les réactions du smartphone, il va pouvoir surveiller toutes les actions qui sont menées par l’utilisateur. Or, ces actions sont potentiellement nombreuses… et dangereuses. Non seulement TapLogger peut enregistrer le code PIN servant au déverrouillage du téléphone, mais il peut également voir les numéros de téléphones composés, les identifiants et mots de passe sur les pages web et applications, et bien évidemment les coordonnées bancaires si elles sont saisies. Ce peut être notamment le cas sur les services clients qui permettent de régler une facture par téléphone.

taplogger

Le rapport note que le nombre d’applications utilisant ces données est en train « d’exploser » et que les retombées en termes de sécurité « ne sont pas encore bien comprises ». Ces travaux ont été présentés la semaine dernière durant la conférence Security and Privacy in Wireless and Mobile Networks (WiSec) 2012. Ils forment une sorte d’aboutissement dans une voie de recherche qui avait en fait déjà été empruntée.

En août 2011, deux chercheurs de l’université de Californie avaient en effet déjà eu l’idée d’utiliser les capteurs sous Android. Leur application se nommait TouchLogger et faisait la démonstration de ces capacités. Cependant, TapLogger va beaucoup plus loin puisqu’il se sert d’une partie ludique pour s’entrainer, utilise davantage de capteurs et peut réellement attaquer l’utilisateur.

Reste à voir maintenant si Google compte réagir, car un danger existe : maintenant que les travaux ont été dévoilés, les concepteurs de malwares pourraient avoir quelques idées nouvelles.
Source : PC World
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 23/04/2012 à 16:37

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 38 commentaires

Avatar de yvan INpactien
yvan Le lundi 23 avril 2012 à 16:42:03
Inscrit le mardi 21 janvier 03 - 8124 commentaires
Intéressant concept, fallait y penser.

Edité par yvan le lundi 23 avril 2012 à 16:42
Avatar de Consultant INpactien
Consultant Le lundi 23 avril 2012 à 16:43:46
Inscrit le mardi 13 juin 06 - 18231 commentaires
bon ben sympa pour les android users va falloir tout faire en commande vocale maintenant =)
Avatar de illidanPowa INpactien
illidanPowa Le lundi 23 avril 2012 à 16:43:48
Inscrit le mardi 20 mars 07 - 11751 commentaires
ça craint du boudin cette affaire, m'enfin ça n'arrivera jamais sous iOS




Edité par illidanpowa le lundi 23 avril 2012 à 16:44
Avatar de wgromit INpactien
wgromit Le lundi 23 avril 2012 à 16:45:58
Inscrit le jeudi 7 juillet 05 - 510 commentaires
Excellent le sous-titre "Un POC qui pique".

Le rédacteur serait-il un ancien développeur sous Commodore 64 ?
(Peek et Poke, très utilisés).
Avatar de Consultant INpactien
Consultant Le lundi 23 avril 2012 à 16:46:22
Inscrit le mardi 13 juin 06 - 18231 commentaires
ça craint du boudin cette affaire, m'enfin ça n'arrivera jamais sous iOS




Il est bien mon WP en "retard" en faite
Avatar de Fuinril INpactien
Fuinril Le lundi 23 avril 2012 à 16:49:44
Inscrit le jeudi 8 avril 10 - 2618 commentaires
ça craint du boudin cette affaire, m'enfin ça n'arrivera jamais sous iOS





troll.gif

=> prison.gif

baton.gif

Et sans manger ! Vilaine bête va !
Avatar de canti INpactien
canti Le lundi 23 avril 2012 à 16:51:44
Inscrit le lundi 5 mai 03 - 4337 commentaires
je pense que ce qui fera que cette application n'aura pas un gros effet , c'est surtout que lire le Gyro/accéléro en permanance, et faire des calculs savant dessus, ca fera une autonomie tellement minable, que l'application sera désinstallé fissa, avec son commentaire incendiaire

( la description de l'usage de batterie application par application, par défaut avec android)
Avatar de illidanPowa INpactien
illidanPowa Le lundi 23 avril 2012 à 16:52:28
Inscrit le mardi 20 mars 07 - 11751 commentaires



troll.gif

=> prison.gif

baton.gif

Et sans manger ! Vilaine bête va !







Avatar de Consultant INpactien
Consultant Le lundi 23 avril 2012 à 16:54:14
Inscrit le mardi 13 juin 06 - 18231 commentaires
je pense que ce qui fera que cette application n'aura pas un gros effet , c'est surtout que lire le Gyro/accéléro en permanance, et faire des calculs savant dessus, ca fera une autonomie tellement minable, que l'application sera désinstallé fissa, avec son commentaire incendiaire

( la description de l'usage de batterie application par application, par défaut avec android)


Peut etre que les données peuvent transiter via le réseau sur un serveur pour une analyse plus lointaine pas forcement besoin de temps réel non ?
Avatar de canti INpactien
canti Le lundi 23 avril 2012 à 16:57:26
Inscrit le lundi 5 mai 03 - 4337 commentaires


Peut etre que les données peuvent transiter via le réseau sur un serveur pour une analyse plus lointaine pas forcement besoin de temps réel non ?


le fait de "poller" les capteurs aussi régulièrement sera de toute façon très "énergivore"... et plus tu envois de donnée sur la 3G/Wifi, plus tu consommes d'énergie

PS: en plus, je passe plus de temps a mon smartphone a jouer a des jeux, qu'à taper mon code bancaire ... il doit y avoir relativement peu de donnée intéressante, par rapport a la quantité de clic innutiles.

Edité par canti le lundi 23 avril 2012 à 16:59
;