+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Avatar de Malick
    Homme Profil pro
    Auditeur
    Inscrit en
    juillet 2012
    Messages
    4 817
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Auditeur
    Secteur : Conseil

    Informations forums :
    Inscription : juillet 2012
    Messages : 4 817
    Points : 54 790
    Points
    54 790
    Billets dans le blog
    15

    Par défaut Les applications Android des constructeurs automobiles seraient vulnérables à des attaques

    Les applications Android des constructeurs automobiles seraient vulnérables à des attaques, plusieurs voitures connectées menacées,
    selon Kaspersky

    Aujourd'hui, force est de constater que la notion de voitures connectées (ou voitures équipées d'un accès Internet) a gagné en popularité, et cela depuis plusieurs années. Ces dernières offrent un plus grand nombre de fonctionnalités, d’options et de confort aux automobilistes à l'instar de la plupart des voitures de luxe actuelles qui intègrent des systèmes et des équipements très sophistiqués. Les constructeurs automobiles, dans le cadre du développement de l'industrie des voitures connectées, proposent également des applications mobiles propriétaires dont l'utilisation permet d'obtenir les coordonnées GPS d'une voiture, de tracer son itinéraire, d'ouvrir ses portes, de démarrer son moteur, etc. Des chercheurs de Kaspersky estiment que les caractéristiques des voitures connectées sont très utiles et sont utilisées par plusieurs millions de personnes dans le monde. Toutefois, ils se sont posé la question de savoir si le vol de voiture serait difficilement réalisable pour un voleur qui arriverait à avoir accès à l'appareil mobile d'une victime qui a installé l'application.

    « Il convient de noter que les applications de contrôle des voitures sont devenues très populaires, et les constructeurs des plus grandes marques de véhicules fournissent des applications dont le nombre d'utilisateurs varie entre plusieurs dizaines de milliers et plusieurs millions de personnes », ont déclaré les chercheurs. Pour étayer leurs dires, ces derniers ont cité les applications ci-dessous faisant apparaître le nombre d'installations enregistrées pour chacune d'elle :

    Nom : cars_research_en_1.png
Affichages : 1429
Taille : 20,5 Ko

    Pour apporter des éléments de réponse à leur interrogation, les chercheurs de Kaspersky ont décidé de faire une étude afin de comprendre ce qu'une personne mal intentionnée est capable de faire via l'application, et proposer des solutions aux propriétaires de voitures pour leur permettre d'éviter des situations difficiles. Les chercheurs précisent que pour les besoins de leur étude, ils se sont basés sur plusieurs applications qui contrôlent les voitures de différents fabricants. « Nous ne divulguerons pas les noms des applications, mais il faut noter que les résultats ont été portés à la connaissance des fabricants durant toute la phase de recherche », affirment les chercheurs.

    Ainsi, dans le cadre de cette étude, les chercheurs en sécurité ont choisi les applications des constructeurs de véhicules les plus populaires pour faire leurs tests afin d'identifier les vulnérabilités qui peuvent être utilisées par les malfaiteurs pour avoir accès à l'infrastructure d'une voiture. Les chercheurs soutiennent que les caractéristiques de sécurité de chacune des applications ont également été passées en revue ; il s'agit entre autres de :
    • s'assurer de la faisabilité de faire de l’ingénierie inversée du code de l’application pour ensuite être en mesure d'exploiter les failles ;
    • vérifier la robustesse du système d'authentification de l’application notamment en s'assurant que les informations d'identification ne sont pas stockées en clair ;
    • vérifier l'existence d'un système de contrôle d'intégrité de l'application ;
    • etc.

    Les résultats de ces tests sont présentés dans le tableau récapitulatif ci-dessous :

    Nom : Sans titre.png
Affichages : 1390
Taille : 20,5 Ko

    App # 1

    Pour l'application 1, il faut relever le fait que l'ensemble du processus d'enregistrement des voitures se résume à entrer le nom de l'utilisateur, son mot de passe ainsi que le numéro d'identification de la voiture (VIN : Vehicle Identification Number). Une fois ces informations saisies, l'application affiche à l'utilisateur un code PIN qui devra être saisi avec les méthodes conventionnelles à l'intérieur de la voiture afin de finaliser la procédure permettant de relier le smartphone à la voiture. Selon les chercheurs, cela veut dire que le seul fait de connaître le numéro d'identification ne suffit pas pour déverrouiller les portières de la voiture. Ils affirment aussi que l'application ne vérifie pas si les données relatives à l'utilisateur, en l'occurrence l'identifiant et le mot de passe, sont stockées en clair dans le fichier accounts.xml. Ainsi, si un cheval de Troie accède au smartphone en mode super-utilisateur, alors il devient facile pour un pirate de voler les données.

    Poursuivant leurs explications, les chercheurs avancent que l'App # 1 peut être facilement décompilé, et le code peut être facilement lu et compris. Des attaques par phishing devraient permettre à un pirate d'obtenir le nom d'utilisateur et mot de passe de l'utilisateur.

    App # 2

    D'après les chercheurs de Kaspersky, cette application vous propose d'enregistrer les informations d'identification de l'utilisateur, mais en même temps, elle recommande le chiffrement de l'ensemble du dispositif afin de se prémunir contre les risques de vol. Ils précisent également que l'application présente le même problème qui a été identifié dans l'App # 1 : le nom de l'utilisateur et son mot de passe sont stockés en clair dans le fichier {?????????}.xml (les points d'interrogation représentent des caractères aléatoirement générés par l'application).

    Nom : cars_research_en_3.png
Affichages : 1389
Taille : 5,3 Ko

    Le numéro d'identification du véhicule est quant à lui stocké en clair dans le fichier ci-après :

    Nom : cars_research_4.png
Affichages : 1370
Taille : 1,7 Ko

    App # 3

    Selon les chercheurs, les voitures connectées à cette application ont en option un module de contrôle qui permet de démarrer le moteur et de déverrouiller les portes. Chaque module installé par le concessionnaire a un autocollant avec un code d'accès qui est remis au propriétaire du véhicule. Cela constitue une protection, il devient impossible de lier la voiture à d'autres informations d'identification, même si son VIN est connu. Toutefois, il existe d'autres possibilités d'attaque : d'une part parce que l'application est de très petite taille étant donné que son APK fait environ 180 kilo-octets ; d'autre part parce que l'ensemble des fichiers logs contenant les données de débogage sont enregistrés sur une carte SD.

    App # 4

    Les chercheurs en sécurité nous informent que cette application permet de lier le VIN d'une voiture avec toutes les informations d'identification existantes, cependant une demande de validation est envoyée à l'ordinateur de bord du véhicule avant que la connexion ne soit établie. Par conséquent, le piratage de la voiture devient difficile. L'équipe des chercheurs soutient que l'application présente des failles qu'une personne mal intentionnée ayant connaissance du nom d'utilisateur et du mot de passe peut exploiter pour déverrouiller les portes de la voiture. « L'application stocke en texte clair le nom d'utilisateur ainsi qu'une pléthore d'autres informations intéressantes comme la marque de la voiture, le VIN, etc. Tous ces éléments sont enregistrés dans le fichier MyCachingStrategy.xml », ont déclaré les experts en sécurité.

    App # 5

    Afin de lier une voiture à un smartphone qui a installé l'application, il est nécessaire de connaître le code PIN qui sera affiché par l'ordinateur de bord de la voiture. Cela signifie que, tout comme dans le cas de l'application précédente, la seule connaissance du VIN ne suffit pas ; la voiture doit être accessible à partir de l'intérieur.

    App #6

    Le rapport mentionne que cette application est faite par des développeurs russes. Cela lui confère une certaine particularité par rapport aux autres applications en ce qui concerne le numéro de téléphone du propriétaire de la voiture qui est en même temps utilisé comme élément d'identification. Avec cette approche, les chercheurs estiment que tous les propriétaires de voitures sont exposés à des risques de piratage, d'autant plus que pour lancer une attaque, il suffit d'exécuter une fonction de l'API Android pour connaître le nom d'utilisateur du smartphone.

    App #7

    « Pour la dernière application que nous avons étudiée, il faut noter que le nom d'utilisateur et mot de passe sont stockés en clair dans le fichier credentials.xml », ont déclaré les chercheurs.

    Nom : cars_research_en_9.png
Affichages : 1775
Taille : 14,4 Ko

    Si un smartphone est infecté avec succès par un cheval de Troie qui dispose des autorisations de super-utilisateur, le vol des informations devient très facile.

    Pour résumer, les chercheurs en sécurité de Kaspersky affirment que « toutes les applications testées présentent des vulnérabilités qui peuvent être exploitées par des hackers ». Il ressort de leur étude que toutes les applications disposent d'une fonctionnalité qui permet d’ouvrir les portes d'une voiture qui y est connectée, et parfois d'en démarrer le moteur en sus. Toutefois, les chercheurs affirment qu'aucune d'elles n'intègre une protection permettant d'interdire l'ingénierie inversée.

    Rappelons que l'ingénierie inverse ou inversée, encore appelée rétro-ingénierie, est l'activité qui consiste à étudier un objet pour en déterminer le fonctionnement interne ou la méthode de fabrication.

    En conclusion, les chercheurs soutiennent que les informations d'identification sont stockées en clair ; la détection des permissions root et le contrôle d’intégrité sont ignorés également. « Il n'y a aucun mécanisme de défense dans les applications que nous avons testées dans le cadre de cette étude », a déclaré l'équipe des chercheurs de Kaspersky.

    Source : Kaspersky

    Et vous ?

    Que pensez-vous des conclusions du rapport ?
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Expert confirmé
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 176
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 176
    Points : 5 808
    Points
    5 808

    Par défaut

    Intéressant, mais...
    Toutefois, il existe d'autres possibilités d'attaque : d'une part parce que l'application est de très petite taille étant donné que son APK fait environ 180 kilo-octets ; d'autre part parce que l'ensemble des fichiers logs contenant les données de débogage sont enregistrés sur une carte SD.
    Suffit donc de bourrer l'application de code inutile pour la rendre sécurisé en augmentant son poids ?

    Bon dommage pour les données de debug... Mais après tout dépend de ce qu'il y a dedans tout de même.
    Et elles ne sont pas activées de base comme l'indique l'article original...

    Les voitures c'est le même combat que les objets connectés...
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  3. #3
    Membre chevronné
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 235
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 235
    Points : 2 018
    Points
    2 018

    Par défaut

    A ma connaissance les fichiers Xml stockés sur support externe (sdcard) sont accessibles en lecture sans être root.
    Et comme la plupart des fichiers ne sont pas cryptés...
    Si la réponse vous a aidé, pensez à cliquer sur +1

Discussions similaires

  1. Réponses: 16
    Dernier message: 24/11/2011, 14h52
  2. Réponses: 34
    Dernier message: 24/01/2011, 10h02
  3. Réponses: 8
    Dernier message: 11/03/2010, 15h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo