fbpx

Archive de l’étiquette failles

ParDamien

Des chercheurs arrivent à voler des frappes clavier via la faille des CPU Intel

Le Data-Direct I/O (ou DDIO) d’Intel doit améliorer les performances de ses processeurs. Malheureusement, des chercheurs ont annoncé que le système est également sujet aux vols de frappes clavier.

L’attaque mise au point par les scientifiques, baptisée NetCAT, peut être exploitée pour obtenir des informations sensibles.

Le DDIO incriminé

Le système responsable de la faille a été mis au point, puis introduit par Intel en 2011. C’est le Data-Direct I/O, une amélioration qui autorise les cartes réseaux et d’autres périphériques à se connecter directement au cache du processeur. Jusque-là, ces périphériques devaient se connecter à la mémoire principale, signifiant un chemin plus long pour les données. Le DDIO a ainsi promis une optimisation de la bande passante, une réduction de la latence et de la consommation en énergie.

Les chercheurs de l’université d’Amsterdam et de l’ETH de Zurich ont cependant averti que, dans certaines situations, les hackers pouvaient utiliser ce DDIO pour la récupération de frappes clavier. Si l’on pense en priorité aux ordinateurs personnels, la menace la plus grave concerne les data centers et les environnements liés au Cloud, susceptibles de disposer à la fois du DDIO et d’un accès mémoire à distance (RDMA) pour permettre l’échange de données.

Lire aussi :
De nombreux processeurs Intel affectés par une faille au doux nom de ZombieLoaD

Attaque NetCAT

Dans leur publication parue mardi 10 septembre, les chercheurs soulignent la gravité de la faille : « Alors que NetCAT est puissante même dans les cas les plus simples, nous pensons que nous avons à peine caressé la surface de ses possibilités pour les attaques réseau du cache, et nous nous attendons à des attaques similaires à NetCAT à l’avenir ».

L’attaque NetCAT, pour Network Cache Attack, est en partie basée sur les utilisations de la langue les plus fréquents. Par exemple, il est plus fréquent qu’un « E » suive un « S » lorsque l’on écrit, plutôt qu’un « G ». Ces pratiques donnent des indices permettant de déduire quelles lettres ont été tapées au clavier. Les chercheurs ont indiqué avoir utilisé les fonctionnalités de contrôle à distance du RDMA « par commodité ». Ce n’est pas une obligation, et les attaques futures pourront ne pas en avoir besoin pour être effectuées.

D’autres aspects, comme le temps de transfert des paquets, fournissent également des pistes permettant de décrypter les frappes clavier : le rapport des chercheurs détaille le fonctionnement de l’attaque dans son ensemble.

Lire aussi :
GPS : des centaines de milliers de trackers sont vulnérables à un piratage à distance

Kaveh Razavi, l’un des chercheurs de l’université d’Amsterdam, appelle donc à la désactivation du DDIO : « Dans les paramètres d’échanges avec des clients peu fiables, où la sécurité compte davantage que les performances, nous recommandons de désactiver DDIO ».

Source : Ars Technica

ParDamien

Kaspersky découvre un cheval de Troie dans l’appli Android CamScanner, téléchargée 100 millions de fois

Très populaire, l’application CamScanner a été écartée de Google Playaprès la découverte d’un injecteur permettant d’insérer du code malveillant dans les smartphones.

Si vous étiez un(e) utilisateur(trice) Android de CamScanner, l’application qui permet de scanner, stocker et partager différents contenus en PDF ou JPEG via son smartphone, ne vous étonnez pas de ne plus avoir accès à celle-ci. Plus disponible sur le Google Play Store après le signalement des experts de Kaspersky, l’application éditée par INTSIG Information intégrait en effet des publicités contenant du code malveillant.

La tuile, pour une application aux 100 millions de téléchargements

Plus qu’une tuile, c’est une véritable désillusion pour les développeurs de CamScanner. Si ces derniers peuvent se consoler en étant toujours présents sur l’App Store, être éjectés d’Android ne doit pas être facile à encaisser. L’application totalisait plus de 100 millions de téléchargementsdepuis son arrivée sur le Play Store, en 2010, avant que les chercheurs de sécurité de Kaspersky ne passent par là.

Lire aussi :
Attention à ce faux site NordVPN qui installe un cheval de Troie sur votre ordinateur
Les spécialistes ont en effet découvert un dropper (un trojan qui introduit et installe le malware) qui permettait de déposer à distance un downloader malveillant sur l’appareil, grâce à un fichier crypté caché dans le code de CamScanner.

Après son activation, ce dernier permettait le téléchargement de fichiers malveillants sur le mobile de l’utilisateur.

Publicités intrusives et souscriptions à des abonnements sans accord des utilisateurs

Les utilisateurs touchés ont par exemple été dérangés par des publicités intrusives et ont constaté avoir souscrit à leur insu à des services payants. Sur Twitter, les développeurs de CamScanner ont reconnu que l’application avait hébergé un module publicitaire provenant de la société AdHub, qui générait des clics publicitaires non autorisés. « Nous allons immédiatement procéder à des actions en justice contre AdHub », indique l’éditeur dont l’application reste disponible sur son site internet officiel.

Concernant l’origine du problème, le chercher en sécurité Igor Golovin, de Kaspersky, a sa petite idée sur la question : « Ce n’est pas souvent que nous voyons une application avec une base d’utilisateurs fidèles et un si grand nombre d’installations distribuer des composants malveillants. Compte tenu des commentaires positifs sur la page de l’application Google Play et du fait que les chercheurs en sécurité n’avaient pas détecté d’activité malveillante auparavant, il semble que les modules malveillants ont été ajoutés dans l’application via une mise à jour. Cette affaire rappelle l’importance pour les consommateurs de protéger leurs appareils, même s’ils téléchargent leurs applications via les stores officiels ». CQFD.

ParDamien

Des failles de sécurité permettaient de prendre le contrôle à distance des caméras Nest Cam IQ

Même les caméras de Google ne sont pas à l’abri de vulnérabilités potentiellement importantes. Grand nom de la tech oblige, ces failles ont, bien entendu, été rapidement corrigées.

Les chercheurs en sécurité de Cisco Talos ont révélé une petite dizaine de failles de sécurité dans les caméras de surveillances Nest Cam IQ. La plus importante d’entre elles permettait de casser à distance le code d’appairage de la caméra et, le cas échéant, d’en prendre le contrôle total. Un attaquant pouvait dès lors espionner les locaux de l’utilisateur.

Une autre faille très importante faisait fuiter des données potentiellement sensibles stockées sur la caméra, telles que les données de configuration. Deux failles permettaient par ailleurs d’exécuter du code arbitraire sur l’appareil. Enfin, quatre failles ouvraient la voie à des attaques par déni de service.

Toutes ces failles ont été notifiées auprès de Google qui les a corrigées rapidement. Pour cela, la mise à jour s’installe automatiquement, à condition que la caméra soit connectée au Wi-Fi. Il est possible de le vérifier à la main. Pour cela, il suffit d’ouvrir l’application mobile, d’aller dans « Paramètres -> Informations techniques » et de relever le numéro de version de la caméra. Celui-ci doit être supérieur ou égal à 4620002.     

Source : Cisco Talos

%d blogueurs aiment cette page :