L’exiguïté de l’écran permet aux attaquants de dissimuler plus facilement des indices de confiance.
Une application météo sur iPhone peut demander la permission d'utiliser les données de géolocalisation. Cela semble légitime pour fournir des données météorologiques basées sur la localisation. L'application peut cependant abuser de cette permission en transmettant par exemple ces données à des fins publicitaires. Ces informations peuvent aussi être exploitées à des fins plus malveillantes.
Une étude récente de chercheurs universitaires a passé au crible 30 applications Android. Deux d'entre elles avaient transmis à un serveur distant le numéro de téléphone du terminal, l'IMSI (numéro unique qui permet à un réseau GSM ou UMTS d'identifier un usager) et l'ICC-ID (numéro de carte Sim). Sept ont fait parvenir l'identifiant du smartphone. La moitié d'entre elles ont envoyé les données de géolocalisation afin qu'elles servent à réaliser de la publicité ciblée. En aucun cas, l'utilisateur n'avait donné son consentement.
Basé sur une étude portant sur 48 694 applications de l'Android Market, SMobile a de son côté constaté que seule une App sur cinq demande l'autorisation d'accéder aux informations privées ou sensibles. Une sur vingt aurait même la possibilité d'effectuer un appel sans qu'aucune manipulation du possesseur du smartphone soit
nécessaire.
Le clavier de l'iPhone, un vrai enregistreur de frappes
L'Enisa fait aussi remarquer que le cache du clavier de l'iPhone est accessible à toutes les applications installées sur le terminal : même si ce cache ne contient pas les informations sensibles, type mot de passe, il contient beaucoup d'informations privées. Le clavier virtuel de l'iPhone enregistre en effet tous les mots tapés sur le clavier, sauf ceux qui sont entrés dans les champs de mot de passe. Ce système censé aider à l'autocomplétion agit comme un enregistreur de frappes, se souvenant aussi de numéros confidentiels...
Enfin, les différents capteurs (boussole, lumière, géolocalisation, etc.) présents sur les smartphones permettent de déterminer les activités de leurs possesseurs et «multiplient les canaux possibles pour collecter et voler des données, ce qui augmente les chances que des informations privées soient pillées», explique l'Enisa. L'agence formule les mêmes recommandations que pour le phishing, en précisant qu'il est possible de refuser certains services (du fabricant de téléphone, de l'opérateur ou de l'éditeur de l'application) collectant des informations sensibles.
Le phishing, une menace à prendre au sérieux
L'Enisa répertorie au moins trois raisons pour lesquelles il faut prendre au sérieux la menace du phishing sur les smartphones. D'abord, l'exiguïté de leur écran. Les attaquants peuvent en effet plus facilement dissimuler des indices de confiance (l'usage du SSL par exemple) que les utilisateurs vérifient plus facilement sur un plus grand écran avant de donner leurs informations sensibles.
Ensuite, les incontournables boutiques d'applications offrent une nouvelle porte d'entrée aux tentatives de hameçonnage par de fausses applications. Cela a déjà été le cas avec plusieurs applications disponibles sur l'Android Market , développées par un certain « 09Droid » et présentées comme soi-disant éditées par de grandes banques.
Recommandations
La sensibilisation est le levier habituel à actionner pour se prémunir de ce type d'attaque. L'Enisa recommande en outre de configurer le smartphone afin qu'un mot de passe soit exigé avant l'installation d'applications. Déterminer une liste blanche d'applications autorisées peut aussi être utile, notamment dans le cas où des données sensibles de l'entreprise se trouvent sur le smartphone.
(Source : JDN)
Poutine estime que le conflit en Iran a détourné l'attention de Washington de l'Ukraine
