Les capteurs de téléphone intelligent peuvent être surveillés par des pirates pour voler des mots de passe

Les pirates peuvent surveiller votre téléphone intelligent et voler des données sensibles en tant que tels PasswordS!

Connaissez-vous les différents types de capteurs présents dans votre smartphone? Qu'en est-il des données collectées par ces capteurs concernant vos activités numériques et physiques? La vérité est que la récolte actuelle de téléphones portables contient tous une gamme de capteurs, y compris le accéléromètre, capteur de proximité, magnétomètre, podomètre, gyroscope, microphone, caméra et NFC. Mais maintenant, les scientifiques de Université de Newcastle ont rencontré la révélation surprenante que les mêmes capteurs peuvent être utilisés par des pirates pour deviner les mots de passe et les codes PIN avec une précision surprenante. Comment est-ce possible? Eh bien, selon l'équipe de recherche, les pirates informatiques collectent des données à partir des capteurs, telles que le mouvement et l'angle de votre téléphone portable, lors de la saisie.

Le problème est plus aigu que vous ne le pensez, car il existe de nombreuses applications et sites Web malveillants qui accèdent à différents capteurs internes à l'intérieur de votre smartphone sans aucune autorisation. Ainsi, même lorsque vous accédez à un site protégé via HTTPS pour saisir votre mot de passe, cela ne fait aucune différence.

En relation: Comment espionner les smartphones en utilisant cette application

Aucun moyen d'empêcher les applications d'accéder aux données du capteur de votre téléphone

La plupart du temps, les applications pour smartphone vous demanderont votre autorisation pour accéder aux capteurs tels que le microphone, la caméra et le GPS. Cependant, au cours des dernières années, l'essor des applications de fitness et de jeu a conduit les systèmes d'exploitation mobiles à permettre aux applications installées de permettre la collecte de données à partir des différents capteurs de mouvement, y compris le capteur de proximité, le gyroscope, l'accéléromètre et le NFC. Cependant, cela signifie que toute application dangereuse peut utiliser les données à ses propres fins négatives. Il en va de même pour les sites Web malveillants.

Cette tendance croissante parmi les sites Web mobiles et les applications à «écouter» secrètement les données de vos capteurs sans votre autorisation expresse peut avoir de graves conséquences. Il peut être utilisé pour découvrir une vaste gamme d'informations sensibles, comme les activités physiques, la durée des appels téléphoniques et même les activités tactiles, comme les mots de passe et les codes PIN.

Comment une attaque se produit

Les scientifiques britanniques ont effectué un certain nombre de tests et enregistré une vidéo d'une attaque qui a collecté des données de près de 25 capteurs présents dans le smartphone. La vidéo montre clairement le script malveillant collectant des données de capteur à partir d'un appareil Apple.

Les scientifiques ont créé un fichier JavaScript malveillant qui pourrait accéder aux capteurs et suivre les données d'utilisation. Ce script malveillant pourrait facilement être chargé sur un site Web ou intégré à un site Web à l'insu des utilisateurs. Une fois que l'utilisateur visite le site malveillant ou installe une application malveillante, l'attaquant peut passer à l'action. Ils commencent à enregistrer tous les types de victimes sur leur appareil pendant que le site Web ou le script malveillant s'exécute en arrière-plan du téléphone. Le script malveillant n'arrêtera pas de collecter les données des différents capteurs tant qu'il n'aura pas les informations nécessaires pour deviner les mots de passe et le code PIN. Une fois la bonne information identifiée, elle est envoyée au serveur de l'attaquant.

Identifier les mots de passe et les codes PIN avec une grande précision

En utilisant les données collectées lors de l'orientation et capteurs de mouvement dans 50 appareils différents, l'équipe de chercheurs a été en mesure d'identifier correctement les codes PIN à quatre chiffres dès leur premier essai. Alors que leur précision était de 74% à ce stade, elle est passée à 100% à la cinquième tentative. Les données collectées ont également révélé aux scientifiques si les utilisateurs faisaient défiler ou tapaient, sur quelle partie de la page ils avaient cliqué et ce qui était tapé sur la page Web mobile.

En relation: Pirater à distance tous les smartphones

Selon les chercheurs, ce projet n'était rien de plus qu'une démonstration pour sensibiliser à la présence de capteurs dans les smartphones auxquels les applications accèdent souvent sans votre autorisation. Il existe encore de nombreux fournisseurs qui n'ont pas inclus de restrictions à ce sujet dans le système d'autorisations intégré standard.

Malgré les risques, interrogés sur les capteurs qui les concernaient le plus, les répondants étaient plus gênés par leur GPS et leur caméra que les autres capteurs silencieux. L'équipe a transmis les résultats de ses découvertes aux principaux fournisseurs de navigateurs comme Apple et Google. La réponse a été assez positive jusqu'à présent, et certains navigateurs comme Safari et Mozilla ont déjà pris des mesures pour résoudre le problème, au moins en partie pour que les utilisateurs soient mieux protégés. Cependant, l'équipe travaille toujours d'arrache-pied, collaborant avec les grands du secteur pour créer une solution plus efficace.