Et si votre téléphone mobile sous Androïd ne pouvait plus fonctionner ?

Standard

Samsung

Décidément, les attaques sur les terminaux mobiles qui fonctionnent sous Androïd sont de plus en plus fortes. De nouvelles possibilités techniques permettent aux cybercriminels de “geler” complètement un terminal, le rendant ainsi inutilisable !

Une nouvelle faille du système ?

C’est une faille majeure qu’a découvert récemment Ibrahim Balic au sein d’Android 4.2.2, 4.3 et 2.3. Celle-ci permet de déclencher une corruption de la mémoire vive à partir de la déclaration d’une valeur trop grande pour une variable au sein d’un fichier XML dans un paquet d’installation d’application. Dans un billet de blog, Veo Zhang de Trend Micro, explique le résultat, vu par l’utilisateur : « le terminal est bloqué dans une boucle sans fin de redémarrage. Ce qui peut rendre le terminal inutilisable et, du point de vue de certains, le ‘briquer’. » C’est à dire le transformer en « brique » inexploitable.

Pour Zhang, cette vulnérabilité peut être exploitée de manière extrêmement discrète par des pirates, « en définissant un déclencheur qui stoppe l’activité en cours de l’application » à un moment précis, voire tout simplement au démarrage du terminal : « faire cela bloquera le terminal dans une boucle de redémarrage […] Dans ce cas, seule une restauration par le bootloader fonctionnera, ce qui signifie que toutes les informations stockées sur le terminal seront effacées. » Trend Micro assure avoir trouvé plusieurs composants d’Android affectés par le même type de vulnérabilité.

L’équipe de sécurité du système d’exploitation mobile de Google a été informée. Mais le temps qu’elle produise un correctif, et que les constructeurs le propagent auprès de leurs clients finaux, Trend Micro recommande « de ne jamais télécharger d’application à partir de magasins applicatifs tiers. » Et l’éditeur d’ajouter qu’il « est important de traiter les applications tierces avec une dose saine de suspicion et de scepticisme. »

Existe-il une solution ?

Revenons à l’article précédent à propos d’une autre vulnérabilité d’Androïd sur des terminaux Samsung  : https://blogexpertsecurity2.wordpress.com/2014/03/23/samsung-galaxy-backdoor/

Est-ce que la solution technique serait d’installer Replicant OS ? où d’installer tout simplement des solutions de sécurité adéquates ?

En attendant, si vous avez un terminal qui fonctionne sous Androïd, pensez à le protéger avec une solution de sécurité globale. Actuellement, deux solutions font leurs preuves pour les particuliers et les petites entreprises

Pour les particuliers

Solutions pour les entreprises :

 

 

Advertisements

Comment le Malware Ploutus aide les cybercriminels à voler de l’argent sur des GAB

Video

Avec la fin de vie de Windows XP , depuis quelques mois, les attaques sur les distributeurs de billets ont vu le jour.

Les équipes de Symantec viennent de découvrir un malware nommé Ploutus. Ce Malware aide les cybercriminels dans le vol d’argent sur des distributeurs de Billets (GAB).
Il existe actuellement plusieurs autres types  de malware ayant les mêmes buts.

Comment Ploutus fonctionne-t-il ?

ATM-attack-ploutus-attack-overviewLes cybercriminels ont deux possibilités pour mener à bien leur projet. La première est d’avoir un complice au sein de la banque. Cette personne installe dans le GAB un téléphone mobile et place une clé usb dans le port USB du Gab qui contient le malware Ploutus qui envoie des commandes spécifiques au GAB.

  1. Un clavier sans fil est relié au Gab  :  le cybercriminel active Ploutus installé sur la clé USB depuis le clavier et cela déclenche la sortie de billets.
  2. Depuis un téléphone mobile, le cybercriminel envoie des commandes spécifiques depuis un autre téléphone mobile caché dans le GAB au Malware installé sur le clé USB qui déclenche la sortie des billets.

Après l’achèvement de mise en place du téléphone mobile par le complice au sein de la banque, l’attaquant envoie un message de commande sur le  téléphone mobile caché dans le GAB. Dès  que le téléphone reçoit le message, il convertit le message en un paquet de réseau et l’envoie au distributeur automatique par l’intermédiaire de la clé  USB. Le  malware fonctionne comme un renifleur de paquets et observe tout le trafic provenant du GAB . Dès que le GAB compromis reçoit une connexion TCP valide ou paquet UDP à partir du téléphone,Ploutus analyse le paquet et essaie de chercher le nombre déjà fixé 5449610000583686″ dans le paquet pour réaliser l’attaque.

Une fois le numéro identifié, le sniffer de paquets installé dans Ploutus va commencer à lire les 16 prochains chiffres et utiliser ces chiffres pour effectuer une ligne de commande pour faire sortir les billets. Vous pouvez voir ci-dessous la ligne de commande utilisée .

cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985

C’est exactement le même type d’attaque qui est réalisée via des SMS : regardez la vidéo.

Regardez la vidéo explicative

http://www.youtube.com/watch?v=53vjNDV4RAY

Comment les banques peuvent-elles se prémunir contre ce type d’attaque ?

  • Mettre à jour les GAB sous  windows 7 où 8.
  • Placer des caméras de surveillance dans les salles internes des GAB et de mettre en place des sécurités physiques d’accès à ces salles.
  • Protéger depuis le  BIOS et interdire l’accès aux  CD ROM, et clés USB
  • Encryptage global du disque dur
  • Utiliser une solution globale de sécurité du GAB comme  Symantec Data Center Security: Server Advanced qui offre un agent anti-viral pour les systèmes virtualisés.

Un drone expérimental pirate les mobiles via leur connexion wi-fi

Standard

drone

Des chercheurs ont conçu un drone qui collecte les données d’un smartphone ou d’une tablette en simulant un site auquel le mobile a eu accès précédemment.

 

C’est incroyable, mais c’est bien le cas. Il est possible au drone de capter toutes les connexions wi-fi d’une zone, de connaitre le nom d’utilisateur et le mot de passe sur les sites en cours de connexion !

Le site CCNMoney.com a pu assister à une démonstration de ce drone pirate à Londres. Celui-ci utilise la connexion wi-fi du mobile. Lorsqu’elle est active, celui-ci cherche systématiquement les réseaux wi-fi auxquels l’utilisateur s’est précédemment connecté.
Si votre wi-fi est désactivé, aucun piratage n’est, en revanche, possible.
Le drone fait ensuite croire au mobile qu’il est un réseau wi-fi d’une enseigne connue, proposant par exemple des accès sans fil (MacDonalds, Starbuck,…) gratuit. Si l’utilisateur s’y est déjà connecté, son mobile sera leurré par le drone. Une fois la connexion établie, celui-ci intercepte les données échangées par le mobile.
En démonstration à Londres, durant une heure, le drone aurait pu analyser 150 terminaux mobiles. Le pilote du drone pirate a collecté des noms d’utilisateurs et de mots de passe pour se connecter à des comptes Amazon, Paypal ou Yahoo.
Cette technologie aurait été développée par deux chercheurs anglais, Glenn Wilkinson et Daniel Cuthbert, issu du laboratoire indépendant Sensepost Research. Leur objectif serait de faire prendre conscience de la vulnérabilité des mobiles…

Video from cnn money

Piratage possible des routeurs Cisco small business !

Standard

rv_215w_large

Vous dirigez une PME-PMI  de petite où de moyenne taille et vous avez un routeur Cisco Small Business ? Une faille de sécurité permet de prendre le contrôle à distance de votre routeur : http://www.datasecuritybreach.fr/piratage-a-distance-possible-des-routeurs-cisco-small-business/

Il est important pour vous de mettre à jour le routeur afin de corriger la faille et, ainsi, de sécuriser votre infrastructure informatique.

Samsung Galaxy Backdoor

Standard

Samsung

Décidément, les attaques sur les téléphones mobiles sous Androïd fleurissent en ce début de printemps. Une porte dérobée (backdoor) vient d’être découverte par Paul Kocialkowski, développeur du système d’exploitation Replicant os. Cette porte ouverte donne accès à l’ensemble des fichiers et actions sur les Nexus S, Galaxy S, Galaxy S2, Galaxy Note, Galaxy Tab 2, Galaxy S 3, et Galaxy Note 2.

Voici la traduction de l’article de Paul Kocialkowski :

Le Développeur de Replicant OS, Paul Kocialkowski a découvert une porte dérobée à l’intérieur de la gamme des téléphones et tablettes Galaxy qui permet l’accès aux fichiers sur le stockage du mobile.
Android est le système d’exploitation open source le plus répandu , mais étant un projet ouvert, il y a plusieurs versions qui s’exécutent sur ​​des appareils mobiles .
Presque tous les fabricants de téléphone mobile commercialisent ces appareils avec une version de l’OS Android qui inclut son composant logiciel , l’application pré- installée et les réglages d’usine .
Samsung , par exemple , offre une version personnalisée d’Android qui inclut certains logiciels propriétaires pré-installés , mais personne n’a la possibilité d’analyser en détail les composants ajoutés à un processus de révision du code efficace . Les composants pré- installés peuvent inclure une porte dérobée pour espionner les utilisateurs ou pour obtenir à distance le contrôle complet de l’appareil.

Sur le système d’exploitation Replicant, qui est un système d’exploitation open source basé sur Google Android , et est disponible pour plusieurs smartphones et  tablettes , ils remplacent tous les éléments propriétaires d’ Android par leurs homologues de logiciels libres .

Le développeur du système d’exploitation  open source Replicant , Paul Kocialkowski , a découvert une porte dérobée pré-installé sur les appareils Samsung Galaxy et le Nexus S qui permet d’accéder à distance à toutes les données de l’appareil.

La Famille Samsung Galaxy
Le chercheur a révélé que de nombreux appareils Samsung sont touchés par cette faille , y compris le Nexus S , Galaxy S , Galaxy S2 , Galaxy Note , Galaxy Tab 2 , Galaxy S 3 et Galaxy Note 2 .

Comme le souligne le blog , les téléphones modernes sont équipées de deux processeurs distincts , un processeur d’application à usage général qui exécute le système d’exploitation principal et un autre composant en charge de la communication avec le réseau de téléphonie mobile .
Le Processeur du modem est généralement ciblé par des attaquants car il fonctionne toujours un système d’exploitation propriétaire , et la présence d’ une porte dérobée permet à des activités de surveillance à distance.

Les téléphones d’aujourd’hui sont livrés avec deux processeurs distincts : l’un est un processeur d’applications à usage général qui exécute le système d’exploitation principal , par exemple, Android , l’autre , connu sous le modem , bande de base , ou de la radio , est en charge de la communication avec le réseau de téléphonie mobile . Ce processeur fonctionne toujours sur un système d’exploitation propriétaire , et ces systèmes sont connus pour avoir des backdoors qui permettent de convertir à distance du modem dans un dispositif d’espionnage à distance . L’ espionnage peut impliquer l’activation du microphone de l’ appareil, mais il pourrait également utiliser la position GPS précise de l’appareil et accéder à la caméra , ainsi que les données utilisateur stockées sur le téléphone . En outre , les modems sont connectés la plupart du temps au réseau de l’opérateur , ce qui rend les portes dérobées presque toujours accessibles ” .

Paul Kocialkowski a découvert que le protocole d’un Samsung IPC fonctionne en fond de tâche avec le processeur de communication qui permet au composant de modem à distance de lire le stockage du téléphone de l’utilisateur . Samsung protocole IPC permet de lire, écrire et supprimer des fichiers de mise en œuvre d’une classe de requêtes ( commandes RFS ) pour exécuter à distance opérations I / O(entrées-sorties) sur le stockage du téléphone .

Nous avons découvert que le logiciel propriétaire en cours d’exécution sur le processeur d’applications en charge de gérer le protocole de communication avec le modem met effectivement en œuvre une porte dérobée qui permet au modem d’effectuer sur les fichiers des actions à distance : des opérations d’entrées-sorties sur le système de fichiers . Ce programme est livré avec les appareils Samsung Galaxy et permet pour le modem de lire, écrire et supprimer des fichiers sur le stockage du téléphone . Sur plusieurs modèles de téléphone , ce programme s’exécute avec les droits suffisants pour accéder et modifier les données personnelles de l’utilisateur .Une description technique de la question , ainsi que la liste des appareils concernés connus est disponible sur le wiki Replicant . ” Précise le blog .

Nous ne pouvons pas démontrer que la porte dérobée a été spécialement conçue , ni qu’elle aurait été placé là à tort , mais dans les deux cas la vie privée de l’utilisateur est exposée à un risque .
Les messages incriminés RFS du protocole Samsung IPC n’ont pas été trouvés pour avoir une légitimité particulière,  ni en cas d’utilisation pertinents .
Cependant , il est possible que ceux-ci ont été ajoutés à des fins légitimes , sans l’intention de faire du mal en fournissant une porte dérobée . ” Cependant , certains messages RFS du protocole Samsung IPC sont légitimes ( IPC_RFS_NV_READ_ITEM et IPC_RFS_NV_WRITE_ITEM ) car ils ciblent un fichier très précis , connu sous le nom des données de NV du modem ” . à ajouté le chercheur .

Replicant a publié un . Patch correctif ‘0001 – modem_if – Inject – et – interception – RFS- IO – messages -à- pe » pour votre smartphone Samsung , qui remplace la bibliothèque légitime Samsung – RIL .

Kocialkowski encourage également les propriétaires de Samsung Galaxy de faire appel publiquement à Samsung Mobile pour une explication .

Affaire à suivre…

Quand le RSSI doit s’imposer…

Standard

Etre RSSI (Responsable de la Sécurité des Systèmes d’Information) n’est pas simple. Communiquer avec la direction générale du groupe est essentiel pour la sauvegarde du patrimoine informationnel d’une entreprise, et ce, quelque soit la taille de celle-ci. Voici un article de Jerôme Saiz postée sur le blog de la société de sécurité QUALYS qui détaille une mésaventure récente arrivée lors de la RSA conférence qui vient de se dérouler à San Francisco…http://magazine.qualys.fr/conformite-organisation/rssi-marketing-communication/ImageEt vous, que pensez-vous de cette situation ?