Des chercheurs découvrent une faille de sécurité matérielle sur les téléphones Android

téléphone Android

Crédit : domaine public Unsplash/CC0

Votre smartphone pourrait-il vous espionner ?

Espérons que non, et si c’est le cas, pas pour longtemps, grâce à une équipe de chercheurs de la Swanson School of Engineering de l’Université de Pittsburgh.

Leur étude récente a révélé que l’unité de traitement graphique (GPU) de certains smartphones Android pouvait être utilisée pour écouter les informations d’identification d’un utilisateur lorsque l’utilisateur saisit ces informations d’identification à l’aide du clavier à l’écran du smartphone, ce qui en fait une cible efficace pour le piratage. Cette vulnérabilité de sécurité matérielle expose une menace beaucoup plus sérieuse aux données personnelles sensibles de l’utilisateur, par rapport aux attaques précédentes qui ne peuvent que déduire les activités grossières de l’utilisateur, telles que le site Web visité ou la longueur du mot de passe saisi.

“Nos expériences montrent que notre attaque peut déduire correctement les entrées d’informations d’identification d’un utilisateur, telles que son nom d’utilisateur et son mot de passe, sans nécessiter de privilège système ni provoquer de changement notable dans les opérations ou les performances de l’appareil. Les utilisateurs ne seraient pas en mesure de dire quand cela se produit. “, a déclaré Wei Gao, professeur agrégé de génie électrique et informatique, dont le laboratoire a dirigé l’étude. “Il était important de faire savoir aux fabricants que le téléphone est vulnérable aux écoutes clandestines afin qu’ils puissent apporter des modifications au matériel.”

Le GPU d’un téléphone traite toutes les images qui apparaissent à l’écran, y compris les animations contextuelles lorsqu’une lettre du clavier à l’écran est enfoncée. Les chercheurs ont pu déduire correctement quelles lettres ou quels chiffres ont été enfoncés plus de 80 % du temps, en se basant uniquement sur la façon dont le GPU produit les animations de clavier affichées.

“Si quelqu’un profitait de cette faiblesse, il pourrait créer une application bénigne – comme un jeu ou une autre application – et y intégrer un code malveillant qui s’exécuterait silencieusement en arrière-plan après son installation”, a déclaré Gao. “Notre version expérimentale de cette attaque pourrait cibler avec succès les noms d’utilisateur et les mots de passe saisis dans les applications et sites Web de banque en ligne, d’investissement et d’évaluation du crédit, et nous avons prouvé que les codes malveillants intégrés dans l’application ne peuvent pas être correctement détectés par le Google Play Store. ”

Les chercheurs ont concentré leurs expériences sur le GPU Qualcomm Adreno, mais cette méthode pourrait également être utilisée pour d’autres GPU. L’équipe a rapporté ses découvertes à Google et Qualcomm, et Google a confirmé qu’elle publierait une mise à jour de sécurité Android plus tard cette année pour résoudre le problème.

L’article, “Eavesdropping User Credentials via GPU Side Channels on Smartphones”, a été co-écrit par Boyuan Yang, Ruirong Chen, Kai Huang, Jun Yang et Wei Gao. Il a été présenté lors de la conférence ASPLOS, qui s’est tenue du 28 février au 4 mars 2022 à Lausanne, en Suisse.


Codes QR : est-il sûr de scanner ?


Plus d’information:
Conférence : asplos-conference.org/

Fourni par l’Université de Pittsburgh

Citation: Des chercheurs découvrent une vulnérabilité de sécurité matérielle sur les téléphones Android (4 avril 2022) récupéré le 4 avril 2022 sur https://techxplore.com/news/2022-04-uncover-hardware-vulnerability-android.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.