Patrick Traynor, un des chercheurs ayant mis au point cette nouvelle attaqueSur votre ordinateur, vous avez bien sûr activé un mot de passe, protégeant l'ouverture de votre session utilisateur, vous avez chiffré le contenu de votre disque dur, à l'aide d'un second mot de passe et vous avez pris soin de retenir par coeur les identifiants de vos diverses identités numériques. Très bien ! Mais avez-vous pensé à éteindre votre smartphone ? Des chercheurs ont en effet montré que les accéléromètres cachés dans la totalité des smartphones récents étaient suffisamment sensibles pour analyser les mots frappés sur un clavier posé à leur côté.
Les chercheurs du Georgia Tech Information Security Center ont réalisé leurs premières expériences avec un iPhone 3 GS, mais la précision obtenue n'était pas suffisante. Le gyroscope intégré à l'iPhone 4 permet de grandement améliorer les résultats en supprimant du bruit sur le signal de l'accéléromètre.
Au final, le malware mis au point par les chercheurs détecte la position approximative des frappes sur le clavier (à gauche, à droite, au centre). Il analyse ensuite les frappes par paires, et compare la séquence obtenue à un dictionnaire de mots courants décomposés selon la même méthode. Avec un dictionnaire de 58 000 mots, la fiabilité de la reconnaissance est d'environ 80 %.
Faut-il alors jeter votre tout nouvel iPhone 4S/Galaxy S II/Nokia N9 à la poubelle ? Heureusement, non. Cette attaque nécessite de nombreuses conditions favorables. Il faut d'abord que l'utilisateur installe une application contenant le malware. Le smartphone doit ensuite être placé à une distance maximum de 7,5 cm du clavier au moment où les mots de passe sont entrés. Le bureau doit aussi être fait d'une matière propageant efficacement les vibrations (le verre ou le bois étant de bons candidats). Enfin, le niveau de vibrations ambiant doit être le plus bas possible : une grande route ou des travaux à proximité neutralise l'attaque.
Mais pour les chercheurs, la menace existe car l'accès des applications à l'accéléromètre et au gyroscope ne sont pas protégés. Ces capteurs n'étaient en effet pas considérés comme des failles potentielles, au contraire du microphone.
http://www.presence-pc.com/actualite/accelerometre-smartphone-securite-45356/
Aucun commentaire:
Enregistrer un commentaire