Des chercheurs découvrent une faille de sécurité matérielle sur les téléphones Android

Votre smartphone pourrait-il vous espionner ?

Espérons que non, et si c’est le cas, pas pour longtemps, grâce à une équipe de chercheurs de l’école d’ingénierie Swanson de l’Université de Pittsburgh.

Leur récente étude a révélé que l’unité de traitement graphique (GPU) de certains smartphones Android pouvait être utilisée pour écouter les informations d’identification d’un utilisateur lorsque celui-ci les tape au moyen du clavier à l’écran du smartphone, ce qui en fait une cible efficace pour le piratage. Cette faille de sécurité matérielle représente une menace bien plus sérieuse pour les données personnelles sensibles des utilisateurs, par rapport aux attaques précédentes qui ne peuvent que déduire les activités à gros grain de l’utilisateur, comme le site web visité ou la longueur du mot de passe tapé.

« Nos expériences montrent que notre attaque peut déduire correctement les données d’identification d’un utilisateur, telles que son nom d’utilisateur et son mot de passe, sans nécessiter de privilège système ni provoquer de changement notable dans le fonctionnement ou les performances de l’appareil. Les utilisateurs ne seraient pas en mesure de savoir quand cela se produit », a déclaré Wei Gao, professeur associé de génie électrique et informatique, dont le laboratoire a dirigé l’étude. « Il était important de faire savoir aux fabricants que le téléphone est vulnérable aux écoutes afin qu’ils puissent apporter des modifications au matériel. »

Le GPU d’un téléphone traite toutes les images qui apparaissent à l’écran, y compris les animations qui surgissent lorsqu’on appuie sur une lettre du clavier à l’écran. Les chercheurs ont pu déduire correctement les lettres ou les chiffres sur lesquels on a appuyé plus de 80 % du temps, en se basant uniquement sur la façon dont le GPU produit les animations du clavier affiché.

« Si quelqu’un profitait de cette faiblesse, il pourrait créer une application bénigne, comme un jeu ou une autre application, et y intégrer un code malveillant qui s’exécuterait silencieusement en arrière-plan après son installation », a déclaré Gao. « Notre version expérimentale de cette attaque pourrait cibler avec succès les noms d’utilisateur et les mots de passe saisis dans des applications et des sites Web de banque en ligne, d’investissement et de déclaration de crédit, et nous avons prouvé que les codes malveillants intégrés dans l’application ne peuvent pas être correctement détectés par le Google Play Store. »

Les chercheurs ont concentré leurs expériences sur le GPU Qualcomm Adreno, mais cette méthode pourrait potentiellement être utilisée pour d’autres GPU. L’équipe a fait part de ses conclusions à Google et à Qualcomm, et Google a confirmé qu’elle publierait une mise à jour de sécurité Android plus tard dans l’année pour résoudre ce problème.

L’article intitulé « Eavesdropping User Credentials via GPU Side Channels on Smartphones » a été coécrit par Boyuan Yang, Ruirong Chen, Kai Huang, Jun Yang et Wei Gao. Il a été présenté à la conférence ASPLOS, qui s’est tenue du 28 février au 4 mars 2022, à Lausanne, en Suisse.