Sécurité et accéléromètres de téléphones - LinuxFr.org
▻http://linuxfr.org/users/jiehong/journaux/securite-et-accelerometres-de-telephones
Un petit journal pour vous parler de problèmes de sécurité liés à la présence d’accéléromètres sur les téléphones.
L’avantage d’une telle attaque, c’est que l’utilisation des accéléromètres passe inaperçu pour l’utilisateur, et qu’il n’y a pas besoin de permissions spéciales sur Google Play, ce qui n’est pas le cas de l’utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l’endroit où vit l’utilisateur, et récupérer des numéros de carte de crédit sans se déplacer).
En 2012, Owusu et al montraient qu’il est possible d’inférer le mot de passe de déverrouillage de l’écran grâce aux accéléromètres, et bien Hua et al viennent de montrer que l’on peut déterminer quel est le bout de la ligne de métro utilisée par un utilisateur grâce aux accéléromètres.
L’idée étant d’utiliser la régularité des mouvements du métro (accélérations, freinage et dues au parcours) pour déterminer les allés et venues d’un utilisateur. Hua et al ont obtenu une précision d’environ 90 % pour un trajet de 4 à 6 stations de long au sein du métro de la ville de Nanjing, en Chine.
C’est fou tout ce qu’on peut faire avec le téléphone de quelqu’un d’autre !
Résumé des articles pointés par le journal
We show that accelerometer readings are a powerful side channel that
can be used to extract entire sequences of entered text on a smart-
phone touchscreen keyboard. This possibility is a concern for two
main reasons. First, unauthorized access to one’s keystrokes is a se-
rious invasion of privacy as consumers increasingly use smartphones
for sensitive transactions. Second, unlike many other sensors found
on smartphones, the accelerometer does not require special privileges
to access on current smartphone OSes. We show that accelerometer
measurements can be used to extract 6-character passwords in as few
as 4.5 trials (median).
Each new generation of smartphone features in-
creasingly powerful onboard sensor suites. A new strain of
‘sensory malware’ has been developing that leverages these
sensors to steal information from the physical environment —
e.g., researchers have recently demonstrated how malware can
‘listen’ for spoken credit card numbers through the micro-
phone, or ‘feel’ keystroke vibrations using the accelerometer.
Yet the possibilities of what malware can ‘see’ through a
camera have been understudied.
This paper introduces PlaceRaider, a novel ‘visual malware’
that allows remote attackers to engage in remote reconnais-
sance and what we call “virtual theft.” Through completely
opportunistic use of the phone’s camera and other sensors,
PlaceRaider constructs rich, three dimensional models of
indoor environments. Remote burglars can thus ‘download’
the physical space, study the environment carefully, and steal
virtual objects from the environment (such as financial doc-
uments, information on computer monitors, and personally
identifiable information). Through two human subject studies
we demonstrate the effectiveness of using mobile devices as
powerful surveillance and virtual theft platforms, and we
suggest several possible defenses against visual malware.