Les smartphones d’aujourd’hui sont livrés avec divers capteurs de mouvement intégrés, tels que l’accéléromètre, le gyroscope, et des capteurs d’orientation. Une brèche potentielle ?
Ces capteurs de mouvement sont utiles pour soutenir l’innovation mobile et l’interface utilisateur basée sur le mouvement. Cependant, ils apportent également des risques potentiels de fuites d’informations privées pour l’utilisateur, car ils permettent à des applications tierces de surveiller les changements de position des téléphones intelligents.
Une équipe de chercheurs de la Pennsylvania State University (PSU) et d’IBM ont mis au point un cheval de Troie sur Android qui peut utiliser les capteurs de mouvement d’un smartphone pour casser les mots de passe.
L’équipe a créé une application expérimentale appelée TapLogger, qui, lorsque vous tapez sur votre écran tactile, fait réagir l’ensemble du dispositif. Donc, si vous appuyez sur un bouton dans le coin supérieur droit, votre téléphone sera effectivement interpréter cette direction et le mouvement subtil sera ensuite lu par l’accéléromètre et d’autres capteurs intégrés à votre appareil.
TapLogger a été créé par Zhi Xu, un candidat au doctorat au Département d’informatique et de génie de PSU, Kun Bai, un chercheur chez IBM TJ Watson Research Center et Sencun Zhu, professeur agrégé de sciences informatiques et ingénierie au Collège de l’UAP de génie.
“Les données des capteurs de l’accéléromètre et d’orientation ne sont pas protégées en vertu du modèle de sécurité d’Android, ce qui signifie qu’ils sont exposés à n’importe quelle application, quel que soit ses autorisations sur le système“, a déclaré mardi l’équipe de recherche dans un document qui a été présenté lors de la conférence ACM sur la sécurité et de confidentialité dans les réseaux sans fil et mobiles.
En août 2011, un groupe de chercheurs de l’Université de Californie a proposé une attaque similaire et a conçu une application Proof of Concept appelée TouchLogger.