211service.com
Google approuve une application qui vole toutes vos données
Le Bouncer automatisé de Google pour les applications, qui devrait empêcher l'apparition de logiciels mobiles nuisibles dans la boutique d'applications de l'entreprise, semble avoir de sérieux angles morts. Le système a scanné à plusieurs reprises mais a laissé passer une application qui vole furtivement des données personnelles telles que des photos et des contacts, ont rapporté deux chercheurs de la société de sécurité informatique Trustwave au Chapeau noir conférence sur la sécurité à Las Vegas hier.
Nicolas Percoco et Sean Schulte sont membres du groupe de recherche sur le piratage éthique de Trustwave, connu sous le nom de SpiderLabs , et ils ont créé l'application pour sonder la capacité de Google à contrôler le logiciel téléchargé sur sa boutique d'applications. La paire a déclaré que les résultats montrent que Google doit améliorer à la fois son système d'analyse d'applications et son système d'exploitation Android.
Alors que de plus en plus de personnes échangent des ordinateurs de bureau et portables contre des smartphones et des tablettes, la sécurité mobile devient de plus en plus importante. De nombreux utilisateurs se comportent également comme si tout ce qu'ils téléchargent à partir d'une boutique d'applications était sûr.
Le coup est embarrassant pour Google, qui a annoncé l'existence du videur système de sécurité qui scanne les applications dans la boutique d'applications de l'entreprise en février de cette année, affirmant à l'époque qu'il était utilisé depuis fin 2011 avec succès (voir Attaques contre Android s'intensifier). En juin de cette année, deux chercheurs d'une autre société de sécurité, Duo Security, a attaqué le videur lui-même , fournissant des détails sur son fonctionnement.
Percoco et Schulte étaient plus intéressés à montrer comment les criminels espérant gagner de l'argent avec de mauvaises applications pouvaient contourner le système Bouncer. Ils ont téléchargé une application inoffensive sur l'App Store de Google, puis l'ont successivement mise à niveau pour qu'elle soit de plus en plus méchante pour voir jusqu'où ils pouvaient aller avant que Bouncer ne passe à l'action.
L'application d'origine, appelée SMS Bloxor, bloquait simplement les messages texte de certains numéros. Le blocage des SMS a été choisi car les chercheurs voulaient dissuader les utilisateurs de télécharger l'application. D'autres applications, dont beaucoup sont gratuites, offrent déjà les mêmes fonctionnalités, et SMS Bloxor était au prix de 49,95 $. Nous ne voulions pas que 5 000 utilisateurs téléchargent notre application malveillante, a déclaré Percoco. Je suis la seule personne à l'avoir acheté.
La première version comportait une simple fonction de téléphone domestique intégrée afin que les chercheurs sachent si Bouncer testait l'application. Google n'a pas publié de détails techniques sur Bouncer, mais a déclaré qu'il testait les applications en scannant leur code et en les exécutant dans un téléphone simulé pour voir ce qu'elles font. Cela implique de donner un accès Internet à une application, donc lorsque SMS Bloxor a téléphoné à la maison quelques minutes après avoir été téléchargé sur le Google Play Store, il était clair que Bouncer l'avait scanné. L'application est ensuite apparue sur l'App Store de Google Play et était prête à être téléchargée par n'importe qui.
Les chercheurs ont ensuite soumis sept versions mises à jour, chacune ajoutant davantage de fonctionnalités malveillantes. Le premier était capable d'envoyer secrètement les contacts d'une personne aux créateurs de l'application. Les versions suivantes pourraient voler des messages texte, copier les informations d'identification d'un téléphone, voler des photos, voler des enregistrements d'appels, détourner l'écran et enfin attaquer une adresse Internet en l'inondant de demandes de données, une tactique qui peut détruire des sites Web si de nombreux sont infectés. les ordinateurs fonctionnent ensemble, ce qui est connu sous le nom d'attaque par déni de service distribué (DDoS).
Nous nous attendions en quelque sorte à ce que l'une de ces étapes, comme un spoof screen ou un DDoS, nous fasse prendre. Et ce n'est pas le cas, a déclaré Schulte. Le videur a scanné et exécuté les versions mises à jour de l'application, mais l'a toujours laissé passer. C'était probablement parce que Bouncer n'a jamais vu l'application à son pire. Bien que les versions numérisées aient tout le code nécessaire pour faire de mauvaises choses, les chercheurs ont attendu d'avoir dépassé Bouncer pour envoyer à l'application les instructions finales dont elle avait besoin pour activer les activités malveillantes.
SMS Bloxor a finalement été retiré du magasin après que les chercheurs ont téléchargé une version qui renvoyait en continu toutes les données d'un appareil aux créateurs de l'application, sans jamais s'arrêter. Un e-mail automatisé a informé Percoco que son compte de développeur avait été suspendu et que l'expérience était terminée. Aucun avertissement n'a été envoyé à la seule personne qui avait payé et téléchargé l'application – Percoco lui-même.
La paire a informé Google de l'expérience avant leur présentation hier après-midi et a rencontré des représentants de la société immédiatement après pour discuter de leurs découvertes.
Percoco a suggéré que Google pourrait étendre la portée de Bouncer et en faire une fonctionnalité de chaque combiné Android, où il pourrait vérifier le comportement d'une application après son installation. Percoco a également déclaré que Google devrait reconsidérer la fonctionnalité qui permet d'envoyer silencieusement un nouveau code aux applications après leur téléchargement sur Google Play.
Google et d'autres fournisseurs de magasins d'applications ont d'abord conçu ces magasins principalement avec un modèle commercial, plutôt que la sécurité, à l'esprit, alors que la concurrence pour exploiter le boom des appareils mobiles s'intensifiait. Cependant, le grand nombre d'appareils actuellement en circulation et le rôle intime qu'ils jouent dans la vie des gens ont convaincu de nombreux experts en sécurité que les magasins d'applications feront bientôt l'objet d'efforts criminels importants. Google a signalé le mois dernier que plus de 400 millions d'appareils Android ont été activés depuis leur première disponibilité en 2008 (voir Android est arrivé), et qu'un million de plus sont activés chaque jour.
Percoco a déclaré que Google et d'autres ont eu de la chance jusqu'à présent et ont encore le temps d'anticiper la vague à venir. Pour l'instant, la plupart des exemples de logiciels malveillants mobiles consistent en des attaques ciblées contre des individus, tels que des PDG, qui pourraient avoir accès à des données d'entreprise précieuses. Au coin de la rue, il y aura une catastrophe plus répandue qui pourrait toucher des dizaines de milliers ou des millions d'utilisateurs.