Même si vous êtes vigilant sur la sécurité de vos smartphones et autres appareils, des menaces insidieuses persistent. Les experts en cybersécurité découvrent régulièrement de nouvelles vulnérabilités permettant à des acteurs malveillants d'accéder à vos données personnelles.
Une source surprenante de risques provient des capteurs de mouvement intégrés aux smartphones. Conçus pour détecter les déplacements de l'appareil à des fins légitimes, ils peuvent être détournés à des fins malveillantes, comme nous l'expliquons ci-dessous.
Des chercheurs ont récemment démontré une vulnérabilité alarmante sur Android : l'attaque "Spearphone", capable de transformer l'accéléromètre en microphone improvisé. Ce capteur mesure l'accélération, l'inclinaison et la rotation, utilisé par des apps comme Google Maps pour la géolocalisation.
Proche du haut-parleur, l'accéléromètre capte les vibrations sonores des conversations en mode haut-parleur ou via un assistant vocal comme Google Assistant. Les enregistrements peuvent ensuite être envoyés à un serveur distant.
Selon une étude publiée sur arXiv, une app malveillante testée sur LG G3, Samsung Galaxy S6 et Note 4 a permis d'identifier le sexe du locuteur à 90 % et l'identité à 80 % grâce à l'apprentissage automatique.
Les malwares exploitent aussi les capteurs pour échapper à la détection. Trend Micro a révélé deux apps Android anodines (Currency Converter et BatterySaverMobi) cachant le trojan bancaire Anubis, voleur de données bancaires et cartes de crédit.
Dans les environnements de test virtuels (sans mouvement), ces apps restent dormantes. Sur un vrai smartphone en mouvement, elles activent leur charge malveillante, trompant ainsi les analyses automatisées.
Semblable au fingerprinting navigateur, la technique SensorID utilise gyroscope et magnétomètre pour créer une empreinte unique basée sur leur calibration spécifique à chaque appareil. Apps et sites autorisés peuvent ainsi vous traquer en ligne.
Cette méthode résiste aux VPN, changements de navigateur et même resets d'usine, et ne prend que moins d'une seconde selon les chercheurs.
Ces attaques sont complexes, mais des mesures préventives existent.
Sur le Play Store, examinez scrupuleusement les autorisations demandées. Une app sans besoin légitime d'accès aux capteurs de mouvement ? Évitez-la.
Collez un matériau anti-vibrations près des haut-parleurs ou évitez les surfaces dures en mode haut-parleur pour bloquer la captation sonore.
Les mises à jour corrigent ces failles (ex. : iOS 12.2). Google déploie des patchs Android ; activez-les systématiquement.
Restez vigilant face à ces astuces sophistiquées. Gardez votre appareil à jour et sécurisé pour minimiser les expositions.
[]