jeudi 26 avril 2012

Concept Taplogger sous Android : une récupération de données frauduleuse mais originale

Android étant devenu le système d'exploitation ouvert pour smartphone le plus utilisé au monde, nombreux sont aussi les exploits ou les "preuves de concept" (PoC - Proof of Concept) accompagnant sa marche vers le succès.

Cette fois-ci, le concept d'attaque sort un peu des sentiers battus puisqu'il repose sur la capacité d'utiliser les données enregistrées des capteurs qui permettent d'interpréter les mouvements de changement de position de l'appareil dans l'espace ! Pour cela sont utilisées les faibles variations liées à la pression du doigt sur le clavier tactile. Un troyen permet de récupérer les informations des différents capteurs que sont les gyroscopes, l'accéléromètre ou les détecteurs d'orientation. Des algorithmes sont ensuite utilisés pour la corrélation des données utiles et permettent de reconstituer, en fonction du modèle de téléphone, le symbole ou le code PIN de déverrouillage du clavier, un numéro de téléphone composé, un numéro de carte bancaire saisi, etc.

C'est le travail d'une petite équipe de chercheurs qui a permis de valider ce concept appelé TapLogger et, pour plus de détails, on s'en référera à l'article de PCInpact. Ce qui a été moins commenté, c'est que l'équipe de chercheurs propose également des solutions pour empêcher (ou du moins limiter) la réussite de ce type d'attaque si elle venait à être utilisée. Au chapitre 7.3 intitulé "contre-mesures" se trouvent les préconisations.

En premier lieu, les chercheurs recommandent de s'intéresser aux systèmes de gestion de senseurs qui ne semblent pas exister. Un guide de bonnes pratiques (et plus tard pourquoi pas normatif) serait donc une première réponse intéressante. Il faudrait ensuite considérer les données des capteurs comme étant des données sensibles de même niveau que les données privées de l'utilisateur et les protéger en conséquence. Mais puisque malgré des permissions restrictives sur ces données rien n'empêchera un attaquant d'y accéder au bout d'un certain temps, l'amélioration de la gestion des UID est une piste sérieuse pour lui compliquer la tâche (reposant sur des travaux antérieurs). Enfin, des mesures "d'hygiène" standards comme un changement régulier du (ou des) mot de passe (de préférence robuste) ou l'augmentation du nombre de chiffres du code PIN sont aussi rappelés.




Aucun commentaire: