Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Des chercheurs piratent des smartphones Android et découvrent un risque de sécurité
Les fonctionnalités avancées des smartphones attirent les utilisateurs qui veulent plus de leurs appareils, en particulier dans les domaines de la santé et du divertissement, mais ces fonctionnalités créent-elles un risque de sécurité lors de l'émission ou de la réception d'appels réels ? Une équipe de chercheurs universitaires de la Texas A&M University et de quatre autres institutions ont créé des logiciels malveillants, ou malware, pour répondre à cette question.
Le logiciel malveillant des chercheurs, appelé EarSpy, a utilisé des algorithmes d'apprentissage automatique pour filtrer une quantité surprenante d'informations sur l'appelant à partir des données de vibration des haut-parleurs enregistrées par les capteurs de mouvement d'un smartphone Android, et ce, sans contourner aucune protection ni nécessiter l'autorisation de l'utilisateur.
"Une attaque standard contre un téléphone portable appuie sur le microphone et enregistre les voix", a déclaré Ahmed Tanvir Mahdad, doctorant au Département d'informatique et d'ingénierie de Texas A&M. "Nous enregistrons les données des capteurs de mouvement, qui ne sont pas directement liées à la parole, et détectons les informations sur l'appelant à partir de celles-ci lors d'une attaque par canal secondaire."
Mahdad est le principal auteur de « EarSpy : Spying Caller Speech and Identity through Tiny Vibrations of Smartphone Ear Speakers », un article publié en décembre 2022 qui explique les résultats du projet. La National Science Foundation a financé la recherche.
Les haut-parleurs situés en haut des smartphones sont traditionnellement petits et produisent de faibles pressions sonores pendant les conversations. Ces vibrations améliorent la clarté lorsque le téléphone est pressé contre l'oreille de l'utilisateur. Les haut-parleurs ne sont pas considérés comme une bonne source d’écoute sonore en raison de leur taille et de leur fonctionnement. Pourtant, certains fabricants remplacent ces petits haut-parleurs par des plus grands pour créer les sons stéréo nécessaires aux vidéos et au streaming sans tenir compte de la quantité de données de vibration émises par les plus gros haut-parleurs. Étant donné que les smartphones sont équipés de capteurs de mouvement appelés accéléromètres pour enregistrer les données de vibration en suivant les exercices et les emplacements des utilisateurs, cela a conduit à une situation dans laquelle les vibrations des haut-parleurs peuvent également être enregistrées et potentiellement compromises.
Les chercheurs ont choisi deux smartphones récents de conception similaire, utilisant le système d’exploitation Android et disposant de puissants haut-parleurs. Ils diffusaient les voix enregistrées uniquement via les haut-parleurs à un volume confortable pour l'audition de l'utilisateur. Les chercheurs ont ensuite utilisé EarSpy pour analyser les données des accéléromètres des téléphones. Ils ont découvert qu'EarSpy pouvait identifier si l'orateur était un appelant répété avec une précision de 91,6 % et déterminer le sexe de l'orateur avec une précision de 98,6 %. Le malware a également reconnu les chiffres prononcés, en particulier les nombres de zéro à neuf, avec une précision de 56 %, soit cinq fois supérieure à une supposition aléatoire.
"Disons que vous parlez à un prestataire de soins de santé ou à un agent du service client d'une banque et qu'il vous demande de fournir vos numéros d'identification ou de carte de crédit", a déclaré Mahdad. "Si le malware EarSpy était sur votre téléphone, l'attaquant pourrait accéder aux données de l'accéléromètre de votre téléphone et les extraire de votre téléphone via une connexion Internet pour les traiter afin de pouvoir extraire ces informations."
La recherche s'est concentrée sur les smartphones Android, car les données des capteurs de mouvement peuvent y être récupérées sans aucune autorisation explicite de l'utilisateur.
Des recherches antérieures ont indiqué qu'il était difficile d'extraire les caractéristiques vocales des données de l'accéléromètre induites par de minuscules haut-parleurs sur les anciens smartphones Android. Les deux téléphones les plus récents choisis par les chercheurs étaient équipés de haut-parleurs plus grands qui donnaient progressivement plus d'informations ; l'algorithme pourrait détecter 45 à 90 % des régions de mots à partir des données de leur accéléromètre et les utiliser pour une analyse plus approfondie. Les régions de mots font référence aux données contenant des mots prononcés lors des appels, à l'exclusion des bruits de fond. Les chercheurs ont extrait de ces données des informations sur la répétition, le sexe et même les mots identifiables prononcés par le locuteur. Les chercheurs ont conclu que déplacer l’accéléromètre vers un autre emplacement du téléphone pourrait réduire la quantité de données enregistrées, mais cela n’arrêterait pas complètement les enregistrements.
De futurs tests sur d'autres téléphones pourraient être justifiés, car les résultats suggèrent que tous les fabricants de smartphones devraient être conscients des risques de sécurité.