Cette semaine, la sécurité d’iOS a fait couler beaucoup d’encre suite au contournement du verrouillage iCloud. Pas de jaloux, Android a aussi sa grosse faille : un chercheur en sécurité a découvert qu’il était possible pour une application de capturer des photos ou des vidéos sans demander l’autorisation de l’utilisateur et sans que rien n’apparaisse à l’écran. Pire, l’application peut ne pas figurer dans la liste des applications installées actives. Autrement dit, il est possible de transformer n’importe quel smartphone ou tablette en mouchard parfait.
Ceci est rendu possible par l’accumulation de plusieurs petits défauts de sécurisation. Ainsi, en premier lieu, il est possible de faire réaliser la capture par un processus en arrière-plan et non par une application. Ne reste alors plus qu’un seul problème : avant d’autoriser l’usage du capteur photo ou vidéo, Android exige que l’écran affiche le flux issu du capteur. Un utilisateur peut donc rapidement s’apercevoir que quelque chose cloche.
Mais cette contrainte est facile à contourner : Android ne bronche pas si on demande d’afficher le flux capturé sur un seul pixel ! Les écrans de smartphones atteignant de telles résolutions aujourd’hui, il est impossible pour l’utilisateur de remarquer un unique pixel changeant de couleur.
En combinant ces trouvailles dans une application sachant communiquer avec un serveur distant et récupérer d’autres informations basiques sur le téléphone (l’état de la batterie, la présence d’une connexion réseau, etc.) Szymon Sidor a créé un logiciel digne des films d’espionnage : comme il le montre dans la vidéo ci-dessous, son Nexus 5 envoie à un PC distant tout ce qu’il voit et entend, sans qu’aucune activité n’apparaisse à l’écran ou dans le gestionnaire d’applications. Ce n’est qu’en portant une attention particulière aux processus actifs ou à la consommation de données (mais qui le fait ?) que l’utilisateur peut se rendre compte qu’il est espionné.
