Connectez-vous avec nous

Gadgets

Des chercheurs découvrent une faille de sécurité matérielle sur les téléphones Android

Crédit : Unsplash/CC0 Domaine public

Votre smartphone pourrait-il vous espionner ?

Espérons que non, et si c’est le cas, pas pour longtemps, grâce à une équipe de chercheurs de l’école d’ingénierie Swanson de l’Université de Pittsburgh.

Leur récente étude a révélé que l’unité de traitement graphique (GPU) de certains smartphones Android pouvait être utilisée pour écouter les informations d’identification d’un utilisateur lorsque celui-ci les tape au moyen du clavier à l’écran du smartphone, ce qui en fait une cible efficace pour le piratage. Cette faille de sécurité matérielle représente une menace bien plus sérieuse pour les données personnelles sensibles des utilisateurs, par rapport aux attaques précédentes qui ne peuvent que déduire les activités à gros grain de l’utilisateur, comme le site web visité ou la longueur du mot de passe tapé.

« Nos expériences montrent que notre attaque peut déduire correctement les données d’identification d’un utilisateur, telles que son nom d’utilisateur et son mot de passe, sans nécessiter de privilège système ni provoquer de changement notable dans le fonctionnement ou les performances de l’appareil. Les utilisateurs ne seraient pas en mesure de savoir quand cela se produit », a déclaré Wei Gao, professeur associé de génie électrique et informatique, dont le laboratoire a dirigé l’étude. « Il était important de faire savoir aux fabricants que le téléphone est vulnérable aux écoutes afin qu’ils puissent apporter des modifications au matériel. »

Le GPU d’un téléphone traite toutes les images qui apparaissent à l’écran, y compris les animations qui surgissent lorsqu’on appuie sur une lettre du clavier à l’écran. Les chercheurs ont pu déduire correctement les lettres ou les chiffres sur lesquels on a appuyé plus de 80 % du temps, en se basant uniquement sur la façon dont le GPU produit les animations du clavier affiché.

« Si quelqu’un profitait de cette faiblesse, il pourrait créer une application bénigne, comme un jeu ou une autre application, et y intégrer un code malveillant qui s’exécuterait silencieusement en arrière-plan après son installation », a déclaré Gao. « Notre version expérimentale de cette attaque pourrait cibler avec succès les noms d’utilisateur et les mots de passe saisis dans des applications et des sites Web de banque en ligne, d’investissement et de déclaration de crédit, et nous avons prouvé que les codes malveillants intégrés dans l’application ne peuvent pas être correctement détectés par le Google Play Store. »

Les chercheurs ont concentré leurs expériences sur le GPU Qualcomm Adreno, mais cette méthode pourrait potentiellement être utilisée pour d’autres GPU. L’équipe a fait part de ses conclusions à Google et à Qualcomm, et Google a confirmé qu’elle publierait une mise à jour de sécurité Android plus tard dans l’année pour résoudre ce problème.

L’article intitulé « Eavesdropping User Credentials via GPU Side Channels on Smartphones » a été coécrit par Boyuan Yang, Ruirong Chen, Kai Huang, Jun Yang et Wei Gao. Il a été présenté à la conférence ASPLOS, qui s’est tenue du 28 février au 4 mars 2022, à Lausanne, en Suisse.


Codes QR : Peut-on les scanner en toute sécurité ?


Plus d’informations :
Conférence : asplos-conference.org/

Fourni par
Université de Pittsburgh

Citation:
Des chercheurs découvrent une faille de sécurité matérielle sur les téléphones Android (2022, 4 avril)
récupéré le 6 avril 2022
à partir de https://techxplore.com/news/2022-04-uncover-hardware-vulnerability-android.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune
partie ne peut être reproduite sans autorisation écrite. Le contenu est fourni à titre d’information uniquement.


Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée.

ARTICLES POPULAIRES