Vidéo: Il n'est pas Recommandé d'Utiliser ton Smartphone Lorsqu'il est en Charge (Novembre 2024)
Pour la prochaine conférence Black Hat de cette année, le résumé d'une conférence en particulier a attiré l'attention des gens. Des chercheurs y expliquent qu’ils démontreront une station de charge publique à l’air inoffensif, capable de prendre le contrôle de votre appareil iOS.
Andy Greenberg de Forbes a d'abord attiré notre attention sur la présentation à venir intitulée "Mactans: Injecter des logiciels malveillants dans un périphérique iOS via des chargeurs malveillants". Les auteurs Billy Lau, Yeongjin Jang et Chengyu Song écrivent que leur chargeur malicieux - appelé "Mactans" - est construit à partir d'un ordinateur mono-carte carré de trois pouces BeagleBoard de Texas Instruments. Cela ne rentrerait pas dans le minuscule adaptateur secteur fourni par Apple, mais les chercheurs écrivent que leur prototype a été fabriqué avec "une quantité de temps limitée et un petit budget". Ils suggèrent également qu'un attaquant plus dévoué pourrait faire encore mieux.
"Nous avons examiné dans quelle mesure les menaces à la sécurité étaient prises en compte lors d'activités quotidiennes, telles que le chargement d'un appareil", écrivent les chercheurs. "Les résultats ont été alarmants: malgré la pléthore de mécanismes de défense dans iOS, nous avons réussi à injecter des logiciels arbitraires dans les appareils Apple de la génération actuelle dotés du dernier système d'exploitation."
L'attaque concerne apparemment tous les utilisateurs iOS, ne nécessite pas que la victime ait un appareil jailbreaké et peut s'exécuter en moins d'une minute. En plus de décrire comment contourner la sécurité intégrée d'Apple, les chercheurs écrivent qu'ils ont également défini un moyen de faciliter la poursuite de l'infection par un programme malveillant. "Pour assurer la persistance de l'infection résultante, nous montrons comment un attaquant peut cacher son logiciel de la même manière qu'Apple cache ses propres applications intégrées", ont déclaré les chercheurs.
Se faufiler avec les électrons
Ce n'est pas la première fois que les bornes de recharge publiques sont désignées comme un danger possible. Krebs on Security a indiqué qu'Aires Security avait mis en place une borne de recharge publique à la DefCon 2011 dans le même but. Quand aucun téléphone n'était connecté, un panneau bleu était affiché. Une fois que quelqu'un a branché son téléphone, il est passé à un avertissement rouge vif.
La borne de recharge Aires Security était plutôt une preuve de concept - et une bénigne en plus. Au lieu de voler vos données ou d'installer des logiciels malveillants, il a envoyé un message: "Vous ne devez pas faire confiance aux kiosques publics avec votre smartphone. Les informations peuvent être récupérées ou téléchargées sans votre consentement", indique un panneau sur le kiosque. "Heureusement pour vous, cette station a emprunté la voie de l'éthique et vos données sont en sécurité. Profitez de la gratuité!"
Les batteries des ordinateurs portables ont également été citées comme vecteur d’attaque potentielle. Également en 2011, le chercheur en sécurité Charlie Miller a présenté son cas concernant le ciblage des microcontrôleurs de batterie dans les ordinateurs portables Apple. Miller pense que le firmware de la batterie pourrait être réécrit pour surchauffer et endommager physiquement l'ordinateur portable, ou même être utilisé comme vecteur pour exécuter du code malveillant dans l'ordinateur.
Heureusement, tous ces arguments sont présentés dans un contexte académique. Les chercheurs de Mactans auraient contacté Apple pour leurs travaux, bien qu’ils n’aient pas (sans surprise) encore rien entendu. Cela dit, vous voudrez peut-être utiliser votre propre équipement de charge. Au cas où.
