Même si vous faites attention à la sécurité lorsque vous utilisez des téléphones et d'autres appareils, il existe toujours des risques dont vous n'êtes peut-être pas conscients. Les chercheurs en sécurité découvrent régulièrement de nouvelles menaces qui pourraient permettre à des acteurs malveillants d'accéder à vos données personnelles.
Une source inattendue de vulnérabilités de sécurité est le capteur de mouvement intégré dans le matériel des smartphones. Ces capteurs sont conçus pour détecter quand le téléphone bouge et ont de nombreuses utilisations légitimes. Mais ils peuvent aussi être mal utilisés, comme nous allons vous le montrer.
Des chercheurs en sécurité ont récemment démontré une vulnérabilité effrayante dans les téléphones Android. L'attaque, appelée Spearphone, est capable de capturer des données de haut-parleur. Par conséquent, il pourrait potentiellement écouter les conversations que vous avez lorsque votre téléphone est à proximité. Il utilise l'accéléromètre du capteur de mouvement, qui mesure l'accélération et l'inclinaison ou la rotation de votre appareil. Les applications de localisation comme Google Maps utilisent l'accéléromètre pour déterminer votre position.
Spearphone fonctionne en transformant ce composant en une sorte de microphone. L'accéléromètre est placé sur le même plan que le haut-parleur d'un téléphone, ce qui lui permet de capter les réverbérations causées par la parole. Lorsqu'une personne utilise son téléphone en mode haut-parleur ou interagit avec un assistant de smartphone comme Google Assistant, l'accéléromètre peut capturer les réverbérations de la parole. Après cela, l'attaquant peut transférer les enregistrements vers le serveur de l'attaquant.
Via arXiv, les chercheurs qui ont découvert la faille ont prouvé son fonctionnement en créant une application Android malveillante. Ensuite, ils ont testé l'application sur des appareils tels qu'un LG G3, un Samsung Galaxy S6 et un Samsung Galaxy Note 4. Cette application pouvait enregistrer la parole à l'aide de l'accéléromètre, envoyer ces enregistrements à un serveur contrôlé par les chercheurs, puis analyser les enregistrements automatiquement à l'aide d'un logiciel d'apprentissage automatique. .
En utilisant les données recueillies de cette manière, les chercheurs ont pu identifier le sexe du locuteur dans 90 % des cas et l'ont correctement identifié 80 % du temps.
Un autre moyen astucieux utilisé par les logiciels malveillants pour utiliser les capteurs de mouvement consiste à masquer leur véritable objectif. Comme l'a rapporté Trend Micro, un autre groupe de chercheurs en sécurité a découvert deux applications Android faisant cela. Les applications, Currency Converter et BatterySaverMobi, sont apparues comme des outils utiles pour convertir des devises et surveiller la durée de vie de la batterie de votre téléphone. Mais en fait, ils ont caché un logiciel malveillant bancaire appelé Anubis, qui vole les données de carte de crédit et les identifiants bancaires en ligne.
Ces applications ont profité du capteur de mouvement pour échapper à la détection. Lorsque les chercheurs en sécurité recherchent des logiciels malveillants, ils exécutent généralement des tests sur un système d'exploitation virtuel hébergé sur un ordinateur. Cela signifie que les capteurs de mouvement ne détectent aucun mouvement pendant le test. D'autre part, lorsqu'un véritable utilisateur installe une application sur un téléphone, il emporte généralement son téléphone avec lui. Évidemment, cela génère beaucoup de mouvement, que les capteurs détectent.
Les applications malveillantes en question ont vérifié le mouvement à l'aide du capteur de mouvement. S'ils ne trouvaient aucun mouvement, ils supposaient que l'application était en cours de test et ne déployaient aucun code malveillant, de sorte que les chercheurs en sécurité ne trouveraient rien de suspect. Mais lorsqu'un véritable utilisateur installait l'une des applications et commençait à se déplacer, l'application activait le logiciel malveillant et pouvait commencer à voler ses données.
Un autre problème de sécurité dont vous avez peut-être entendu parler est l'empreinte digitale du navigateur. C'est à ce moment que les données de votre ordinateur et de votre navigateur sont utilisées pour vous identifier et vous suivre. Par exemple, cela peut fonctionner en examinant les différentes extensions de navigateur que vous avez installées et les polices que vous avez sur votre ordinateur. Ces données peuvent être utilisées pour créer une image unique de vous et vous suivre sur Internet.
Les appareils Android et iOS sont vulnérables à une technique similaire qui utilise leurs capteurs de mouvement. En utilisant une technique appelée SensorID, il est possible de créer une empreinte digitale à l'aide des données des capteurs du gyroscope et du magnétomètre de votre téléphone. Ces capteurs sont calibrés de manière unique pour chaque utilisateur, ce qui signifie qu'ils peuvent vous identifier. Si des applications ou des sites Web sont autorisés à accéder à vos capteurs de mouvement, ils peuvent vous suivre lorsque vous utilisez Internet.
Cette technique fonctionne même si vous prenez des précautions de sécurité comme l'utilisation d'un VPN ou le passage à un autre navigateur. Effrayant, il persiste après avoir effectué une réinitialisation d'usine sur votre téléphone. En effet, l'empreinte digitale d'étalonnage de vos capteurs de mouvement ne change jamais. C'est aussi une attaque rapide, prenant "moins d'une seconde pour générer une empreinte digitale" selon les chercheurs.
Ces attaques sont difficiles à protéger. Cependant, vous pouvez prendre certaines mesures pour vous protéger contre les risques de sécurité qui abusent du capteur de mouvement de votre téléphone.
Tout d'abord, soyez prudent lorsque vous accordez des autorisations d'application. Lorsque vous installez une application à partir du Play Store, elle vous demandera l'autorisation d'utiliser diverses fonctions sur votre téléphone. Par exemple, une application d'appareil photo demandera l'autorisation d'accéder à l'appareil photo de votre téléphone.
De nombreux utilisateurs acceptent les autorisations des applications sans vraiment les regarder. Mais cela peut être un risque pour la sécurité. La prochaine fois que vous installerez une application, vérifiez les autorisations dont elle a besoin. S'il demande la permission d'utiliser les capteurs de mouvement de votre téléphone, réfléchissez à la raison pour laquelle il en aurait besoin. S'il n'y a aucune raison légitime pour que l'application accède au détecteur de mouvement, ne l'installez pas.
Deuxièmement, si vous craignez vraiment que vos capteurs de mouvement ne soient utilisés à mauvais escient pour entendre vos conversations, vous pouvez prendre des mesures plus directes. Vous pouvez ajouter un matériau amortissant les vibrations autour des haut-parleurs du téléphone pour empêcher le capteur de mouvement de capter les réverbérations.
Sinon, évitez de laisser votre téléphone sur une surface plane et dure comme une table lorsque vous utilisez le haut-parleur. Cela devrait empêcher l'accéléromètre de capter des informations sonores.
Pour vous protéger contre les empreintes digitales, votre meilleur pari est de vous assurer que le système d'exploitation de votre téléphone est à jour, car le problème a été résolu dans des systèmes d'exploitation comme iOS 12.2. Google est conscient du problème et s'efforce de mettre à jour les systèmes Android pour les protéger.
Méfiez-vous des façons intelligentes dont les applications téléphoniques peuvent voler vos données, notamment en utilisant les capteurs de mouvement. Certains de ces problèmes sont difficiles à protéger pour les individus. Vous devez donc toujours vous assurer que votre téléphone Android est à jour et sécurisé.
