Sécurité



La validation de l'App Store jugée laxiste sur la sécurité

Des chercheurs de Georgia Tech, une université renommée des États-Unis, sont parvenus à faire valider une application qui contenait du code malicieux, rapporte le MIT Technology Review.


Photo Pieter Ouwerkerk CC

Pour passer le contrôle effectué par Apple, le malware, surnommé Jekyll, a été fragmenté dans différentes parties de l'application. Pour qu'il puisse opérer, le code de Jekyll a été ensuite réassemblé — aucun détail n'est donné sur cette opération. L'application, en apparence un simple lecteur d'actus, était alors capable de poster des tweets, d'envoyer des emails et des SMS, de prendre des photos, de voler des données personnelles et d'attaquer d'autres apps, entre autres.

L'app contenant Jekyll n'a été disponible que quelques minutes au mois de mars, le temps pour les chercheurs de l'installer et de mener leurs tests. Grâce à un outil de suivi, ils se sont rendu compte que l'équipe de validation de l'App Store n'avait passé que quelques secondes sur l'app avant de lui donner son feu vert.

« Le message que nous voulons faire passer maintenant, c'est que le processus de validation d'Apple consiste surtout en une analyse statique de l'application, ce qui n'est pas suffisant, car les systèmes dynamiques ne peuvent pas être repérés facilement », a déclaré Long Lu, un chercheur ayant participé à l'expérience.

Tom Neumayr, un porte-parole d'Apple, a indiqué que l'entreprise avait apporté des modifications au système pour régler ce problème, sans plus de précision. iOS 6.1.3, disponible mi-mars, intègre des corrections de sécurité qui sont peut-être liées à cette découverte. Tom Neumayr n'a pas souhaité s'exprimer sur le processus de validation de l'App Store.



Détails sur le hack utilisant un faux chargeur USB

La manière dont s'y sont pris en juin dernier les deux chercheurs du Georgia Institute of Technology pour installer du code sur un iPhone via un faux chargeur USB a été détaillée par Ars Technica (lire iOS 7 détecte les chargeurs malicieux).

Grosso modo, il s'agit de reproduire la manière dont les développeurs installent des apps sur des appareils iOS, branchés directement en USB sur leur Mac. Dans le cas de cette démonstration, l'iPhone était relié à un ordinateur de la taille d'une toute petite carte électronique. Sous réserve que le téléphone soit déverrouillé, il accepte les commandes USB envoyées par son hôte et les chercheurs ont pu ainsi transférer une application.

Pour y arriver, leur carte a récupéré l'identifiant UDID du téléphone qui a été soumis aux serveurs d'Apple pour obtenir un fichier dit de provisionning profile. Celui-ci est associé à l'application créée par le développeur et il contient la liste des appareils iOS que ce développeur a autorisés. Ce fichier est alors transféré vers le téléphone. Partant, il peut faire fonctionner l'app envoyée dans son sillon.

Lors de leurs essais, ces chercheurs avaient remplacé l'app Facebook du téléphone par une copie contenant un trojan capable de prendre des captures pendant la saisie d'un mot de passe. Ils pouvaient aussi passer un appel sans l'aide de l'utilisateur.

La réussite d'une telle opération doit cependant contourner plusieurs obstacles. Le téléphone ne doit pas être verrouillé lorsqu'il est branché au faux chargeur. Ensuite, le provisionning profile est nécessairement associé à un compte développeur valide et enregistré auprès d'Apple. Enfin, une limite de déploiement à 100 appareils est imposée pour ces fichiers.

Ce procédé n'autorise donc pas un piratage en masse d'appareils iOS, on s'inscrit plutôt dans un contexte où un individu, une organisation ou un gouvernement a besoin de s'attaquer à l'appareil d'une personne très ciblée.

Apple a donc ajouté une barrière dans la dernière bêta d'iOS 7. Lorsqu'on branche son téléphone à un périphérique USB, si celui-ci est autre chose qu'un banal chargeur USB, un message invite l'utilisateur à confirmer qu'il valide l'ordinateur auquel le périphérique est relié. Cette demande sera répétée aussi longtemps que l'on n'aura pas donné son accord. C'est une action supplémentaire à réaliser mais modérément contraignante.

À gauche, l'iPhone est verrouillé et branché à un MacBook Air. Il passe simplement en charge. À droite, même scénario, mais on a déverrouillé l'iPhone avant son branchement

Le message affiché sur le MacBook Air si l'on a refusé de lui faire confiance



iOS 7 détecte les chargeurs malicieux

Apple a corrigé une faille singulière d'iOS qui pouvait être exploitée par un chargeur USB sophistiqué. Début juin, deux chercheurs du Georgia Institute of Technology avait mis au point un chargeur - en fait un véritable petit ordinateur au format carte électronique, la BeagleBoard.

Il était capable d'injecter du code malicieux (voire malveillant !) dans un iPhone, sans que celui-ci n'ait besoin d'être jailbreaké (lire Un chargeur malicieux pour attaquer les terminaux iOS). Dans leur démonstration, leur logiciel allait composer un numéro de téléphone.

Les deux hommes avaient détaillé leur travail et les solutions pour contourner ce type de hack. La carte coûte moins de 50$, il leur avait fallu une semaine de travail.


Un BeagleBoard à côté d'un iPhone - Photo Jon Masters CC

Reuters indique que la dernière version bêta d'iOS 7 est dorénavant immunisée. Les terminaux d'Apple vont réagir comme les appareils Android : un message s'affichera à l'écran s'il est détecté que le chargeur branché n'a rien d'ordinaire. Apple a également remercié ces deux chercheurs pour leur « précieuse contribution ».



Viber piratée à son tour

La Syrian Electronic Army (SEA) a fait une nouvelle victime : Viber. Le groupe de pirates soutenant le régime de Bachar el-Assad a défacé le site du service de VoIP, sans néanmoins parvenir à obtenir des données privées.

Le site du service client de Viber après avoir été défacé par la SEA.

« Il est très important de souligner qu'aucune donnée privée n'a été exposée et que les bases de données de Viber n'ont pas été "piratées" » a expliqué un porte-parole de la société au site américain 9to5Mac : « les informations des utilisateurs sont stockées sur un système sécurisé qui ne peut pas être atteint par ce type d'attaques. » Les pirates ont en effet attaqué le site du service client de Viber, et non ses infrastructures.

Reste que si vous utilisez Viber, vous pouvez profiter de cet incident pour vérifier la force de votre mot de passe et en changer le cas échéant (lire : Mots de passe : rappel de quelques conseils). Après TrueCaller et Tango, Viber est la troisième cible de la SEA : ce groupe s'attaque à des services de communication afin de faire la chasse aux « dissidents » syriens.



Google corrige l'importante faille de sécurité d'Android

Google a corrigé la faille de sécurité concernant quasiment tous les terminaux sous Android. Une vulnérabilité capable de transformer, à l'insu du système, une app en un cheval de Troie (lire 99 % des appareils Android touchés par une énorme faille).

Google a indiqué à ZDNet que le correctif avait été envoyé à ses partenaires matériels et qu'il leur incombait maintenant de le distribuer auprès de leurs utilisateurs. Samsung s'y serait déjà attelé.

Un scan des apps présentes sur Google Play n'a révélé aucune application compromise, a ajouté Google. Quant aux logiciels récupérés par d'autres biais que cette boutique, ils peuvent être contrôlés à distance par Google via une fonction similaire intégrée à Android.

Image : Android-MT



99 % des appareils Android touchés par une énorme faille

L’équipe de sécurité Bluebox clame avoir découvert une vulnérabilité dans le système de sécurité d’Android permettant à une personne malintentionnée par exemple de modifier le code d’un APK sans casser la signature de l’application.

Autrement dit, cette faille permettrait à un hacker de modifier le code d’une app afin de la transformer en cheval de Troie sans que le système ne s’en rende compte. La faille est d’autant plus grave qu’elle est présente depuis Android 1.6 qui est sorti il y a quasiment quatre ans. Potentiellement, cette faille concerne quasiment 900 millions d’appareils.

Si cette faille de sécurité est mise en œuvre, elle offre aux hackers une large palette de choix. Cela va du vol de données à la création d’un botnet mobile !

La menace est d’autant plus grave que dès qu’un Trojan s’est installé via une app, il a accès à l’intégralité du système, à toutes les applications ainsi qu’à leurs données. Il pourrait non seulement accéder à des données sensibles (mail, SMS, documents, accès aux mots de passe), mais prendre le contrôle de l’appareil pour réaliser certaines actions plus embarrassantes comme passer des coups de fil (on vous laisse imaginer les dégâts avec les numéros surtaxés), envoyer des SMS en rafale, ou enregistrer des appels.

La bonne nouvelle dans l’affaire, c’est que cette faille a été découverte par des chercheurs en sécurité et non des hackers. Le problème a été soumis à Google en février. Ce qui va être intéressant de voir dans cette affaire, c’est la réactivité des différents acteurs dans l’écosystème d’Android.

C’est un sacré test pour Google et ses partenaires. La faille sera dévoilée en détail à l’occasion de la conférence Black Hat qui se tient du 27 juillet au 1er aout à Las Vegas.

En attendant la sortie d’un correctif, l’équipe de Bluebox vous recommande de redoubler de vigilance lorsque vous téléchargez une app avec un smartphone Android.

[MàJ] ComputerWorld rapporte que le Galaxy S4 inclut déjà un patch afin de se prémunir contre cette faille. Google, de son côté, travaille toujours sur un correctif pour ses Nexus.



Le partage de connexion d'iOS trop partageur

Des chercheurs allemands en informatique ont soulevé une faiblesse dans le partage de connexion (aussi appelé « mode modem ») de l'iPhone et de l'iPad. Le mot de passe aléatoire proposé par iOS peut être découvert en moins d'une minute.

Les chercheurs ont observé que le mot de passe suggéré, un mot de quatre à six lettres suivi de quatre numéros, était constitué à partir d'une liste de 52 000 termes utilisée pour le Scrabble. De plus, iOS n'utilise en fait que 1 842 entrées différentes de cette liste. Avec du matériel assez puissant, quatre cartes graphiques AMD Radeon HD 7970S, le mot de passe peut être découvert en quelques dizaines de secondes.

La découverte du mot de passe du partage de connexion pose plusieurs problèmes, selon les chercheurs. La sécurité et la confidentialité de l'iPhone s'en retrouvent potentiellement amoindries, et, plus prosaïquement, la consommation de DATA peut en souffrir.

Cette carence est toutefois à relativiser. iOS laisse la possibilité à l'utilisateur de changer le mot de passe du mode modem, comme l'explique cette fiche. Et le système d'Apple n'est pas le pire. Windows Phone 8 propose un mot de passe composé de seulement 8 chiffres. Quant à Android, par défaut son mot de passe est fort, mais les constructeurs viennent souvent altérer ce fonctionnement. HTC, par exemple, intègre par défaut « 1234567890 » pour protéger le partage de connexion sur tous ses terminaux. Un ajustement sur iOS 7 n'en reste pas moins le bienvenu.

[Via ZDNet]



Une petite faille dans l'accès aux restrictions d'iOS sur iPad

Une petite faille a été repérée sur iOS au niveau de la demande d'un code d'accès pour déverrouiller l'accès aux restrictions. C'est à dire tous ces réglages (que connaissent bien les parents par exemple) pour limiter l'utilisation de certaines applications ou fonctions de sa tablette.

Un code à quatre chiffres est toujours demandé lorsqu'on souhaite accéder à ces options. Au bout de six essais manqués, le délai pour tenter un nouvel essai est allongé : cela démarre de 1 min et file progressivement à 60 min. Astucieux, Pierre Dandumont a observé que ce délai, bien qu'affiché à l'écran, ne s'appliquait plus dans les faits lorsqu'on utilisait un clavier externe branché à l'iPad plutôt que le clavier virtuel.

Il a alors connecté une petite carte électronique, la Teensy 3.0, capable d'émuler un clavier USB et surtout de générer inlassablement des codes possibles moyennant un bout de code. Cette méthode d'attaque par force brute finit par payer et l'accès se voit déverrouillé. Cela peut prendre quelques minutes à quelques heures mais les probabilités ne s'appliquent que sur une combinaison à quatre chiffres, les lettres n'étant pas acceptées.

La gravité est toutefois relative puisque ce système ne marche qu'à cet endroit - qui n'est pas des plus secrets - et pas dans le cadre d'une volonté de déverrouiller l'accès à l'iPad depuis son écran d'accueil. Lui est immunisé.

- Les détails sont sur le journal du lapin

Tags:


Un chargeur malicieux pour attaquer les terminaux iOS

Des chercheurs du Georgia Institute of Technology ont mis au point un chargeur « malicieux » capable d'injecter du code dans un terminal iOS et de compromettre sa sécurité.


Chargeur iPhone

Ce hack a été réalisé dans le cadre de la conférence Black Hat 2013 qui se tiendra fin juillet à Las Vegas. L'équipe derrière le Mactans, nom donné à ce chargeur malicieux, dit s'être intéressée aux menaces de sécurité dans les actions de tous les jours.

En branchant son iPhone ou son iPad au Mactans pour le recharger, le code est injecté en moins d'une minute et aucune action de la part de l'utilisateur n'est requise. L'opération fonctionne avec la dernière version d'iOS et le terminal n'a pas besoin d'être jailbreaké pour que cela marche. Le Mactans fabriqué par ces chercheurs est basé sur le BeagleBoard, une carte électronique semblable au Raspberry Pi. Niveau taille, le Mactans n'est donc pas aussi compact qu'un chargeur d'iPhone.


Un BeagleBoard à côté d'un iPhone - Photo Jon Masters CC

Pendant la conférence Black Hat, l'équipe de Georgia Tech présentera les mesures de protections mises en place par Apple contre l'injection de code malicieux, avant d'expliquer comment utiliser les fonctions USB pour outrepasser ces défenses et que le code persiste. Enfin, les chercheurs vont recommander aux utilisateurs des moyens pour se protéger eux-mêmes — ne pas brancher son iPhone à une carte électronique par exemple ? Apple aura également le droit à son lot de recommandations pour combler cette carence de sécurité.

Sur le même sujet :
- Jailbreak : le fonctionnement d'Evasi0n de A à Z

[Via Gizmodo]



iOS 6 reçoit le feu vert du Pentagone

Le Pentagone. Image officielle.

Le Département américain de la défense (DoD) a finalement autorisé les forces et agences militaires à utiliser des iPhone, iPad et iPod touch sous iOS 6 pour des communications non-classifiées. Cette autorisation se fait sans condition particulière, à la différence de celles accordées aux concurrents d'Apple : les appareils BlackBerry 10 doivent impérativement être liés à un serveur BES 10 et les appareils Samsung doivent utiliser le système Knox (qui ne sera pas disponible avant le mois de juillet).

Le Pentagone possède déjà 600 000 appareils mobiles (470 000 BlackBerry, 41 000 sous iOS et 8 700 sous Android), mais seuls les BlackBerry pouvaient jusqu’ici être connectés aux réseaux militaires. Cette autorisation devrait aussi renforcer la place d’iOS en entreprise : les banques et plus généralement les sociétés manipulant des données « sensibles » suivent les recommandations du Pentagone.