Accueil » Revue de presse » Une faille dans Gmail permet de dérober des données personnelles

Une faille dans Gmail permet de dérober des données personnelles

Selon des chercheurs américains, la mémoire partagée des terminaux mobiles permet, par le biais d’une application malveillante, de suivre les actions des utilisateurs dans d’autres applications et ainsi d’accéder à des données personnelles.

Gmail sur smartphone

Gmail sur smartphone

Des chercheurs universitaires américains ont identifié une vulnérabilité dans plusieurs applications mobiles, dont Gmail de Google. Celle faille peut selon eux permettre, par le biais d’une application malveillante, de dérober des données personnelles du terminal.

Si leurs tests ont révélé que la faille de Google peut être exploitée avec un taux de réussite compris entre 82 et 92% sur un smartphone Android, les chercheurs estiment que l’attaque s’applique également à iOS et Windows Phone – ce dont ils doivent cependant encore faire la démonstration.

Suivre et décoder en temps réel l’activité sur le terminal

Les trois OS majeurs du marché partagent en effet une fonctionnalité similaire, utilisée pour dérober les données. Toutes permettent ainsi à l’ensemble des applications installées sur le terminal d’accéder à la mémoire partagée de celui-ci.

« L’hypothèse a toujours été que ces applications ne peuvent pas interférer les unes avec les autres facilement » explique Zhiyun Qian, enseignant chercheur à l’université californienne de Riverside. « Nous montrons que cette hypothèse est fausse et qu’une application peut en réalité en affecter significativement une autre et entraîner des conséquences néfastes pour l’utilisateur » poursuit-il.

Pour s’effectuer, l’attaque requiert au préalable que l’utilisateur ait installé une application, en apparence sans danger, comme par exemple un fond d’écran, mais contenant du code malveillant. Une fois installée, celle-ci permet aux chercheurs d’accéder aux statistiques de tous les processus de la mémoire partagée, sans détenir de privilèges spécifiques.

Grâce à ces données, ils peuvent en déduire certaines activités de l’utilisateur, comme par exemple l’authentification sur Gmail. Outre l’application de Gmail, celles développées par H&R Block et la Chase Bank sont jugées les plus vulnérables à cette attaque avec un taux de succès de 82 à 92%. Sur les 7 applications testées, celle d’Amazon s’est révélée la plus difficile à pénétrer avec 48% de taux de réussite.

Vigilance de rigueur sur le choix des applis

L’exploitation reste cependant complexe. Outre la nécessité d’installer une application malveillante, les attaquants doivent réaliser l’attaque en temps réel, par exemple lorsque l’utilisateur se connecte à son application de banque en ligne. « Nous savons lorsque l’utilisateur est sur son appli bancaire, et lorsque il ou elle est sur le point de s’authentifier, nous injectons un écran identique de connexion » détaille Qi Alfred Chen, de l’université du Michigan. « C’est transparent car nous agissons dans ce timing ».

Pour prévenir, une telle attaque, la meilleure défense reste toujours de n’installer que des applications de confiance. Une bonne pratique qui s’applique d’ailleurs à bien d’autres scénarios. Les utilisateurs doivent ainsi se montrer attentifs, lors de l’installation d’une application, aux permissions accordées à celle-ci.

(Source: zdnet.fr)

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

x

Check Also

Espionnage : les cartes SIM de Gemalto piratées par la NSA

D’après de nouvelles révélations de Snowden, les espions américains et anglais (NSA et GCHQ) ont ...