Comment un lien Web peut prendre le contrôle de votre téléphone

Une démonstration effrayante dans une petite salle pleine à craquer lors de la conférence sur la sécurité RSA aujourd'hui a montré comment cliquer sur un seul lien Web défectueux tout en utilisant un téléphone exécutant le système d'exploitation Android de Google pouvait donner à un attaquant un contrôle à distance complet de votre téléphone. Une fois George Kurtz et ses collègues de la startup de sécurité FouleGrève étaient terminés, ils pouvaient enregistrer les appels téléphoniques, intercepter les messages texte et suivre l'emplacement du téléphone piraté à tout moment.





Qu'est-ce qui est omniprésent, a une caméra, un microphone, sait où vous êtes à tout moment, est toujours allumé et stocke vos informations sensibles ? demanda Kurtz. Le téléphone intelligent est l'outil d'espionnage ultime.

Les téléphones intelligents ont déjà été piratés, mais Kurtz a déclaré qu'il s'agissait de la première démonstration publique d'un système de bout en bout capable d'en arracher le contrôle à distance en un seul clic sur un lien Web.

Les attaques ciblées, conçues pour voler la propriété intellectuelle ou des informations précieuses aux entreprises et à leurs dirigeants, sont devenues relativement courantes ces dernières années. Depuis un certain temps, les experts en sécurité ont averti que les appareils mobiles offrent un moyen pour que de telles attaques deviennent plus omniprésentes et efficaces, et la démo d'aujourd'hui donne du poids à ce cas.



Kurtz et ses collègues ont mis en scène un scénario impliquant le piratage d'un vrai téléphone Android non modifié. Kurtz, jouant le rôle d'un investisseur occupé lors d'un événement de l'industrie, a reçu un SMS prétendant provenir de son opérateur mobile lui demandant de télécharger une mise à jour du logiciel de son téléphone. Lorsqu'il a cliqué sur le lien dans ce message, le navigateur du téléphone s'est écrasé et l'appareil a redémarré. Une fois redémarré, l'appareil semblait inchangé, mais une application silencieuse et malveillante avait été installée qui relayait tous ses appels téléphoniques et SMS à l'attaquant, qui pouvait également suivre sa position sur une carte.

L'attaque a été organisée sur un appareil exécutant la version 2.2 du système d'exploitation Android de Google, également connu sous le nom de Frozen Yogurt, mais elle a utilisé des bogues dans un composant du navigateur d'Android qui sont également présents dans la version plus récente 2.3, ou Gingerbread. Ces deux versions d'Android représentent près de 90 pour cent des appareils Android utilisés aujourd'hui, a déclaré Kurtz. Plus important encore, WebKit, le composant de navigateur qui a été exploité, est également au cœur des navigateurs Web que l'on trouve dans les appareils iPhone et iPad d'Apple, les téléphones BlackBerry et les appareils TV de Google.

Les attaquants ont dépensé 1 400 $ sur le marché noir pour obtenir les détails de 14 bogues connus, mais non corrigés, dans WebKit. Ils ont ensuite conçu un moyen de les utiliser pour obtenir un accès root complet à un appareil et ont construit un système complet qui utiliserait ces pouvoirs pour installer un outil d'accès à distance, ou RAT, une application qu'ils avaient saisie des pirates informatiques basés en Chine.



Des États-nations comme la Russie et la Chine sont actifs dans le développement des RAT, et si nous pouvons le faire en quelques semaines, ils le pourront certainement aussi, a déclaré Dmitri Alperovitch, directeur de la technologie de CrowdStrike. Le RAT dans la démo était une application conventionnelle avec des privilèges élevés qui pourraient potentiellement être détectés par les applications de sécurité disponibles pour Android, a-t-il déclaré, mais avec plus de temps, il serait possible d'utiliser la même méthodologie pour installer un rootkit très difficile à détecter. logiciels invisibles pour de tels outils.

Kurtz a essayé de terminer sur une note positive, en disant que le ciel ne tombe pas. Ce sont des attaques très ciblées.

La prévention des attaques comme celle démontrée sur scène nécessite des mises à jour plus fréquentes des systèmes d'exploitation mobiles, a déclaré Kurtz. Cependant, cela est loin d'être facile, car les opérateurs sans fil, les fabricants d'appareils et les fournisseurs de systèmes d'exploitation mobiles doivent tous être impliqués. En conséquence, la plupart des appareils mobiles reçoivent aujourd'hui très rarement des mises à jour.



cacher