Vidéo: RSAC — Мальчик мой (Официальный клип) (Novembre 2024)
Les enregistreurs de frappe sont de mauvais programmes qui reposent sur votre PC et enregistrent chaque frappe avec soin. Si vous voulez voler les mots de passe bancaires de quelqu'un, les enregistreurs de frappe sont l'outil idéal. Nathan McCauley, responsable de l'ingénierie de la sécurité chez Square, et Neal Hindocha, consultant en sécurité de Trustwave, ont montré que faire la même chose sur un smartphone à écran tactile n'était pas difficile du tout.
Trouver les doigts
Le meilleur moyen d'intercepter les informations tactiles sur iOS consiste à utiliser une "méthode géniale". McCauley a déclaré que c'était "comme une attaque de type" man-in-the-middle "pour les appels de méthode dans le système d'exploitation". Si vous savez qu'une méthode particulière sera appelée, a expliqué McCauley, vous pouvez insérer une bibliothèque qui intercepte et enregistre l'événement avant de le transmettre normalement. Le résultat pratique est que vous pouvez saisir toutes sortes d'informations, même des captures d'écran, sans affecter les performances du téléphone.
En règle générale, cela nécessiterait que l’iPhone soit jailbreaké en premier. Cependant, les présentateurs ont reconnu que les recherches de FireEye publiées plus tôt dans la semaine avaient montré que ce n'était pas nécessairement le cas. Jusqu'à ce que Apple mette à jour iOS, les utilisateurs pourraient potentiellement être surveillés même si leur appareil n'est pas jailbreaké.
Sur les appareils Android enracinés, c'est encore plus facile. Hindocha a utilisé l'outil "getevent", présent sur tous les appareils Android, pour consigner les coordonnées X et Y de chaque contact. Il pourrait également utiliser getevent pour enregistrer les mouvements de balayage et les pressions sur les boutons matériels.
Pour les androïdes qui ne sont pas enracinés, c'est-à-dire la plupart d'entre eux, vous pouvez toujours utiliser getevent. Pour ce faire, le débogage USB du téléphone doit être activé et connecté à un ordinateur. En utilisant le pont de débogage Android, Hindocha a pu obtenir les droits élevés requis pour exécuter getevent.
Bien sûr, les appareils Android ne sont pas en mode de débogage par défaut (et nous vous recommandons vivement de ne jamais l' activer). De plus, l'accès physique à un appareil limite grandement l'efficacité de cette attaque. Cependant, Hindocha a démontré qu'il était théoriquement possible d'utiliser une combinaison de fonds d'écran animés malveillants (qui ne nécessitent aucune autorisation spéciale pour afficher des données tactiles) et de superposer des applications pour intercepter des informations tactiles sur des appareils non rootés.
Vous avez le contact
Une fois qu’ils ont compris comment obtenir les données tactiles, les chercheurs ont dû déterminer quoi en faire. Au début, ils ont supposé qu'il serait nécessaire de capturer des captures d'écran afin de mapper les informations tactiles à quelque chose d'utile. Mais Hindocha a dit que ce n'était pas le cas. "Au fur et à mesure que nous progressions, j'ai réalisé que je pouvais assez facilement comprendre ce qui se passait simplement en regardant les points", a-t-il déclaré.
L'astuce consistait à rechercher des indices particuliers pour indiquer le type de participation. Angry Birds pourrait être un mouvement particulier de glissement et de tapotement, tandis que quatre tapotements, puis un cinquième en bas à droite de l'écran, constituent probablement un code PIN. Hindocha a déclaré qu'ils étaient en mesure de savoir quand les courriels ou les messages texte étaient écrits, car la zone où réside la touche de retour arrière a été touchée à plusieurs reprises. "Les gens font beaucoup d'erreurs lorsqu'ils écrivent des courriels", a-t-il expliqué.
Rester en sécurité
Les chercheurs ont noté qu'il ne s'agissait que d'une méthode pour capturer ce qui était saisi dans un smartphone. Des claviers malveillants, par exemple, pourraient tout aussi facilement voler vos mots de passe bancaires.
Les utilisateurs d'iOS préoccupés par le touchlogging devraient éviter de jailbreaker leurs appareils, bien que les recherches de FireEye suggèrent que cela ne suffit pas. Heureusement, a déclaré McCauley, la détection des méthodes est assez facile à détecter par les gestionnaires d’appareils avisés.
Pour Android, le problème est un peu plus complexe. Encore une fois, l’enracinement d’un appareil vous expose à une attaque. En outre, l'activation du mode de débogage permet aux attaquants d'accéder à votre appareil. Celles-ci ne sont normalement pas présentes sur les téléphones Android disponibles, bien que McCauley présente une exception importante. Au cours de leurs recherches, ils ont découvert que les téléphones fournis par un fabricant anonyme étaient configurés de manière à permettre aux pirates d’accéder à getevent.
Bien que leurs recherches aient des applications pratiques, elles restent largement théoriques. Nos robinets et nos balayages sont sécuritaires, du moins pour le moment.
