Smartphones: Danger le piratage "tap trap" arrive
-
Attention aux propriétaires de smartphones qui utilisent un appareil Android: des experts en informatique viennent de mettre au jour une astuce sophistiquée qui pourrait permettre aux pirates d’accéder aux smartphones et donc aux données sensibles des utilisateurs de téléphones portables. Et ce, grâce à une application «invisible» qui pourrait passer inaperçue… (la méthode pourrait être utilisée aussi bien sur iphone)
Cette méthode de piratage est également connue dans les milieux spécialisés sous le nom de «TapTrap» (piège du toucher). Comme le rapportent entre autres le magazine tech «Scinexx» et «Chip.de», l’application peut s’afficher au premier plan de l’écran sous forme d’apparition transparente, qui passe inaperçue aux yeux des utilisateurs.
Si le propriétaire de l’Android continue d’agir dans une application qu’il vient d’ouvrir en tapant sur l’application invisible, des commandes involontaires pourraient ainsi être déclenchées. Le média autrichien «Der Standard» a également fait état de ce cas.
L’astuce se base sur la capacité des smartphones à pouvoir ouvrir plusieurs applications en même temps. Ainsi, il serait en principe également possible qu’une application frauduleuse déclenche une autre application sans que le propriétaire du smartphone s’en aperçoive, tout en l’affichant de manière transparente.
«Les apps peuvent également lancer d’autres apps en utilisant des animations, comme un fondu lent ou un glissement vers l’avant», explique Philip Beer de l’université technique de Vienne à Scinexx. «C’est exactement ce dont on peut abuser», souligne-t-il.
L’application invisible est difficile à détecter
Si le propriétaire du smartphone appuie sans le savoir sur l’application transparente, cela peut déclencher des activités auxquelles l’utilisateur du terminal n’aurait sans doute jamais consenti autrement.
Selon les scientifiques de l’université technique de Vienne, cela pourrait inclure la lecture de données sensibles ou des modifications dans les applications bancaires. Beer explique: «Nous avons testé cela en créant un jeu simple».
Le jeu permettait de collecter des points en tapant sur des petites bestioles à l’écran. L’équipe a fait tester le jeu par vingt participants à l’étude. Il s’est avéré qu’il était possible d’obtenir différentes autorisations à l’insu des participants, comme par exemple l’accès à la caméra du smartphone.
«Mais le jeu ouvre ensuite une autre application, par exemple un navigateur. On a certes l’impression de jouer encore au jeu du scarabée, mais en réalité, c’est ce dernier que l’on utilise», explique le scientifique de l’université technique de Vienne.
Même si une fenêtre de confirmation devrait normalement apparaître, l’application invisible du pirate peut la supprimer. Beer met en garde: «Théoriquement, on pourrait aussi lancer une application bancaire de cette manière, ou même effacer toutes les données du téléphone».
Comment se protéger contre «Tap Trap» ?
Scinexx rapporte des enquêtes qui ont suggéré que 76% des presque 100’000 apps contrôlées sont vulnérables au «TapTrap». Toutefois, aucune de ces failles de sécurité n’aurait été exploitée jusqu’à présent.
L’équipe a signalé le problème aux développeurs d’Android, de Firefox et de Google Chrome, qui ont déjà réagi. Pour se protéger contre les attaques, les utilisateurs de smartphones devraient être prudents. Beer recommande de ne pas installer d’applications provenant de sources non sûres. Pour plus de sécurité, il conseille également de vérifier régulièrement les paramètres de l’appareil.
«Lorsque l’on accède à l’appareil photo ou au microphone, cela se voit souvent aussi aux symboles dans la barre d’état, il faut y faire attention», souligne-t-il.
Pour être encore plus en sécurité avec son smartphone, il est possible de désactiver complètement l’animation des applications dans les paramètres sous «Aide à l’utilisation» et «Couleur et mouvement». Cela réduit en fin de compte le risque que des applications pirates s’infiltrent à l’insu de tous lors du lancement d’une application.
-
undefined Violence a déplacé ce sujet de Autour du Warez
