Une équipe de scientifiques de l’université de Newcastle au Royaume-Uni a imaginé un fichier JavaScript capable de collecter des données issues des différents capteurs présents sur un smartphone. Ces informations ouvrent la voie à la découverte du code PIN ou des mots de passe de l’utilisateur du terminal.
Au total, le JavaScript glane des données auprès de 25 capteurs (gyroscope, accéléromètre, boussole, GPS, luminosité, caméra, microphone, etc.). Les chercheurs ont découvert que les systèmes d’exploitation mobiles et les navigateurs ne limitent pas l’accès à l’ensemble des capteurs. L’attaque menée par les scientifiques concernent aussi les applications qui demandent souvent l’accès aux capteurs du terminal comme la géolocalisation, la caméra, le microphone…
Le JavaScript élaboré par l’équipe universitaire se nomme PINLogger.js. Il se place dans une application ou sur une page web. Le fichier est capable de collecter des données issues de l’orientation et du mouvement du smartphone.
Quand l’utilisateur s’authentifie avec son code PIN ou son mot de passe, les données de mouvement sont envoyées à un serveur. Elles sont ensuite traitées par une solution de Deep Learning (reproduisant les réseaux neuronaux) chargée de déterminer les codes d’authentification. Et plus, il y a de données, mieux l’algorithme fonctionne. Pour le Dr Siamak Shahandashti, un des chercheurs participant à l’étude, « c’est un peu comme un puzzle, plus vous avez de pièces installées, plus vous voyez l’image finale ».
Et le résultat est convaincant : 78% de réussite dès le 1er essai pour un code PIN à 3 chiffres. La précision passe à 86 et 94% sur le deuxième et troisième essai. Sur la partie mot de passe, l’algorithme fonctionne aussi, mais sans évaluation précise de la part des chercheurs. Ces derniers entendent attirer l’attention des constructeurs de smartphones et des éditeurs sur l’accès des applications et des navigateurs aux différents capteurs des terminaux et sur les autorisations que ces accès nécessitent.
Des conseils pris en compte par certains comme Mozilla qui, depuis Firefox 46, a limité l’accès des JavaScript aux capteurs de mouvements et d’orientation à certaines pages. Une restriction similaire a été mise en place pour Safari, au sein d’iOS 9.3 (mars 2016). Par contre, avec Chrome, ce problème d’accès n’est toujours pas résolu. A l’avenir, les chercheurs plaident pour une solution au niveau de l’OS et non plus au niveau des applications.
A lire aussi :
La chaleur des doigts pour pirater le code PIN des smartphones
WindTalker : pirater des codes PIN en sniffant le WiFi des smartphones
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…