in

Les chercheurs ont trouvé un autre moyen de pirater les téléphones portables Android via Bluetooth

Les pirates qui cherchent à voler des informations sensibles telles que les contacts, l’historique des appels et les codes de vérification SMS à partir d’appareils Android n’ont besoin que de cibler les protocoles Bluetooth, selon une nouvelle étude DBAPPSecurity présentée lors de la conférence Black Hat 2020 mercredi.

Ces exploits, dont l’un tire parti d’une vulnérabilité zero-day, pourraient également permettre aux pirates d’envoyer de faux messages texte s’ils sont manipulés correctement, ont découvert les chercheurs.

Il fonctionne en permettant aux pirates de se déguiser en une application de confiance, en demandant des autorisations permettant à un appareil compatible Bluetooth de partager des données avec un autre appareil, tel qu’un casque ou le système «d’infodivertissement» d’une voiture. Pour que le piratage se déroule correctement, le Bluetooth doit être activé sur l’appareil cible et les victimes doivent approuver la demande de privilèges des pirates. En fin de compte, cette action permet aux pirates d’accéder aux données sur l’appareil de la victime, selon la société californienne.

L’autre attaque permet aux chercheurs de tirer parti d’une vulnérabilité de contournement d’authentification, appelée «BlueRepli». Les pirates potentiels peuvent contourner l’authentification en imitant un appareil qui a déjà été connecté à une cible. Les victimes n’ont pas besoin de donner la permission à un appareil pour que ça fonctionne.

«L’effet réel de cette vulnérabilité est que la victime n’est pas informé du tout lorsque les pirates accèdent à son annuaire téléphonique ou sa messagerie», A déclaré Sourcell Xu, chercheur en sécurité chez DBAPPSecurity.

En règle générale, les pirates peuvent exploiter BlueRepli pour voler les contacts, l’historique des  appels et les messages courts des utilisateurs, mais peuvent aller plus loin et envoyer de faux messages texte à partir d’appareils victimes s’ils exploitent un appareil Android particulier, ce que les chercheurs ont fait.

Un porte-parole de Google, qui possède Android, a déclaré que la société travaillait toujours sur des mesures d’atténuation.

« Nous sommes conscients du problème et travaillons actuellement avec nos partenaires pour développer un correctif », a déclaré le porte-parole de Google.

Les chercheurs ont déclaré que la vulnérabilité n’affectait pas les iPhones.

Bluetooth a longtemps été en proie à des vulnérabilités, y compris celles qui pourraient permettre aux pirates informatiques à proximité d’exécuter du code sur les appareils victimes. Il y a également eu des problèmes avec les plans de traçage des contacts des coronavirus et les clés Google Titan.

L’Agence de sécurité nationale a averti plus tôt cette semaine que les utilisateurs qui cherchent à éviter d’exposer des données de localisation sensibles à partir de leurs téléphones portables doivent garder à l’esprit que les appareils mobiles calculent la localisation à l’aide du WiFi ou du Bluetooth, même lorsque le GPS ou les services de localisation sont désactivés.



Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Google se prépare à des ventes record du Black Friday

Sept façons de prendre des décisions éclairées pour votre entreprise