FR
Service d'assistance téléphonique
Les développeurs pourraient introduire des publicités pop-up ennuyeuses ou des attaques de phishing dans les applications mobiles via un défaut de conception dans Android, selon les chercheurs.
LAS VEGAS–Les chercheurs ont découvert ce qu’ils disent être un défaut de conception dans Android qui pourrait être utilisé par les criminels pour voler des données via le phishing ou par les annonceurs pour apporter des publicités pop-up ennuyeuses sur les téléphones.
Les développeurs peuvent créer des applications qui semblent inoffensives mais qui peuvent afficher une fausse page de connexion à une application bancaire, par exemple, lorsque l’utilisateur utilise l’application bancaire légitime, a déclaré Nicholas Percoco, vice-président principal et responsable de SpiderLabs chez Trustwave, avant sa présentation sur la recherche à la conférence des hackers DefCon aujourd’hui.
Actuellement, les applications qui souhaitent communiquer avec l’utilisateur pendant qu’une autre application est affichée envoient simplement une alerte à la barre de notification en haut de l’écran. Mais il existe une interface de programmation d’application dans le kit de développement logiciel d’Android qui peut être utilisée pour pousser une application particulière au premier plan, a-t-il déclaré.
« Android vous permet de remplacer la norme pour (appuyer) sur les boutons de retour », a déclaré Sean Schulte, développeur SSL (Secure Sockets Layer) chez Trustwave.
« Pour cette raison, l’application est capable de voler la mise au point et vous ne pouvez pas appuyer sur le bouton de retour pour sortir », a déclaré Percoco, ajoutant qu’ils avaient nommé le problème la vulnérabilité de vol de mise au point.
Les chercheurs ont créé un outil de preuve de concept qui est un jeu, mais qui déclenche également de faux affichages pour Facebook, Amazon, Google Voice et le client de messagerie Google. L’outil s’installe dans le cadre d’une charge utile dans une application légitime et s’enregistre en tant que service afin qu’il revienne après le redémarrage du téléphone, a déclaré Percoco.
Dans une démo montrant un utilisateur ouvrant l’application et voyant l’écran de connexion pour Facebook, la seule indication que quelque chose d’étrange s’est produit est un blip d’écran si rapide que de nombreux utilisateurs ne le remarqueraient pas. Le faux écran remplace complètement le légitime, de sorte qu’un utilisateur ne serait pas en mesure de dire que quelque chose n’est pas à sa place.
Avec ce défaut de conception, les développeurs de jeux ou d’applications peuvent créer des publicités pop-up ciblées, a déclaré Percoco. Les publicités pourraient être simplement ennuyeuses, comme la plupart des pop-ups, mais elles pourraient également être ciblées pour afficher une annonce lorsque l’application d’un concurrent est utilisée, a-t-il ajouté.
« Donc, tout le monde des publicités qui se battent les unes contre les autres à l’écran est maintenant possible », a déclaré Percoco, qui, avec Christian Papathanasiou, a présenté un rootkit Android à DefCon l’année dernière.
La fonctionnalité ne déclencherait aucun drapeau rouge dans les autorisations affichées lorsque l’utilisateur télécharge l’application, car il s’agit d’une fonction légitime pour les applications de vérifier l’état du téléphone dans ce qu’on appelle le service d’activité, selon Schulte.
Percoco a déclaré que les chercheurs ont parlé à quelqu’un chez Google de leurs conclusions il y a quelques semaines et que l’individu a reconnu qu’il y avait un problème et a déclaré que la société essayait de comprendre comment le résoudre sans casser aucune fonctionnalité des applications légitimes qui pourraient l’utiliser.
Lorsqu’il a été contacté pour commenter, un représentant de Google a déclaré qu’il examinerait la question.
Mise à jour du 8 août 2011 à 15 h 50 PT Un porte-parole de Google a fourni cette déclaration: « La commutation entre les applications est une capacité souhaitée utilisée par de nombreuses applications pour encourager une interaction riche entre les applications. Nous n’avons vu aucune application utiliser cette technique de manière malveillante sur Android Market et nous supprimerons toutes les applications qui le font.
Le porte-parole de Google a également dirigé CNET vers AppLock de Visidon comme exemple de la façon dont cette fonctionnalité est utilisée. L’application utilise la technologie de reconnaissance faciale pour empêcher l’accès non autorisé à certaines parties de votre téléphone, telles que votre application Gmail. L’utilisation légitime de la fonctionnalité décrite dans la vulnérabilité de cet exemple ferait glisser l’interface de demande de mot de passe d’AppLock sur celle de Gmail lorsque vous appuyez dessus. Étant donné qu’AppLock utilise votre visage comme mot de passe, il glisse, permet à votre visage d’être reconnu comme le mot de passe approuvé, puis glisse.
Mise à jour du 8 août 2011 à 19 h 40 PT Réponse de Percoco à la déclaration de Google: « Le changement d’application n’est pas le problème. Le vrai problème est la capacité des autres applications à identifier quelle application est au premier plan, puis à décider de sauter devant cette application en cours d’exécution sans que l’utilisateur lui donne la permission de le faire. Nous ne voyons pas non plus comment ils pourraient déterminer la différence entre une application malveillante et une application légitime, car ils auraient tous deux l’air presque identiques jusqu’à ce qu’un utilisateur le leur signale comme malveillant. La position « attendre qu’une application soit signalée mauvaise avant de la supprimer » est dangereuse et s’avérera probablement être un effort infructueux, car les attaquants pourraient publier des applications beaucoup plus rapidement que Google ne pourrait les identifier et les supprimer du marché.
Seth Rosenblatt de CNET a contribué à ce rapport.
Source : https://news.cnet.com/8301-27080_3-20089123-245/android-could-allow-mobile-ad-or-phishing-pop-ups/
