Voici une démonstration rapide par Vikram Takhur, Chercheur en sécurité Symantec, pour NBC :

Ceci est réalisé par un professionnel, ne pas tenter de reproduire à la maison, il y en a qui ont essayé, ils ont eu des problèmes !

Soit 2.887 applications malveillantes sur les 2.047.804 disponibles, d’après le projet SymDroid (voir plus bas…).

Cela peut paraître faible (quoique…) mais cela reste un chiffre à surveiller car en croissance constante. Voici d’ailleurs les statistiques concernant les maliciels ANDROID sur une année :

Il est possible de “creuser” dans ces données (nouvelles applications par mois, par catégorie, niveau de risque…) en utilisant le widget suivant (cliquer sur l’image) :

Par exemple, 88.000 nouvelles applications en février 2011, contre 822.000 en juillet 2012.

Et pour mémoire, le projet SymDroid, c'est ça :

En français, il s’agit du brouillage de système Guidage Par Satellite (ou GPS). Il existe déjà de nombreux systèmes de brouillage à rayon d’action limité disponible sur le net, bien que la vente et l’utilisation en soit prohibées. A lire à ce propos des articles récents du Monde ou de la BBC, qui donnent des éléments sur la situation…

Cette fois, il s’agit d’une attaque lancée par la Corée du Nord contre la Corée du Sud ces derniers jours, avec un brouillage à grande échelle ayant impacté 337 vols commerciaux, 122 cargos, un paquebot de croisière et un tanker. Des GPS de voitures ont été également touchés.

Même si de nombreux points restent obscurs, on peut aisément imaginer l’intérêt de perturber la géo-localisation des smartphones aux avions de lignes, en passant par les missiles ou autres drones…

Prêts pour la guerre des objets ?

“Je ne sais pas comment la Troisième Guerre Mondiale sera menée, mais je sais comment le sera la quatrième: avec des bâtons et des pierres.”

Albert Einstein.

L’article in extenso ici.

Des questions auxquelles TNS tente de répondre à travers un outil intéressant, regroupant les informations de 48.000 utilisateurs, dans 58 pays.

C’est là :

How will people use their phones in the future?

We asked people which features or apps they are not using today, but would be interested in using in the future

A voir sur le blog  Symantec Security Response, un exemple japonais de scam de Twitter sur smartphone : en un seul clic, l’utilisateur peut se retrouver pris au piège, après avoir cliqué un lien dans un tweet émanant a priori d’un compte très suivi.

On le savait déjà, les cybercriminels utilisent font la même utilisation de Twitter que des moteurs de recherche : ils créent des Tweets factices comprenant des mots clés populaires, et y intègrent des liens malveillants.

Twitter bloque les URL suspects et signale des URL raccourcis qui semblent malveillants. Cependant, certains utilisateurs peuvent être redirigés vers des sites infectés en cliquant sur le lien malveillant depuis son smartphone, terminal d’utilisation de Twitter par excellence et surtout qui trop souvent, suppose une attention moindre ou trop rapide aux alertes de sécurité.

En général,  comme dans l’exemple mentionné sur le blog et illustré ici , les utilisateurs sont informés qu’ils viennent de s’inscrire à un service de vidéo payant, et qu’ils doivent désormais procéder au paiement. Ces sites affichent des informations telles que les adresses IP, l’identité de l’utilisateur, ainsi que le navigateur utilisé pour de faire croire à celui-ci que le propriétaire du site peut les identifier.

Au moment de l’écriture du blog mentionné ci-dessus, on comptait au moins 100 comptes qui tweetaient une moyenne de 300 Tweets par heure incluant des liens malveillants.

Même s’il existe des possibilités de signalement de telles pratiques sur Twitter, l’utilisation accrue des terminaux mobiles pour le micro-blogging et le surf sur Internet  va aller de pair avec le développement de nouvelles menaces et de nouvelles activités malveillantes par les cyber-criminels, comme le montre cet exemple.

Même si l’attaque mentionnée ci-dessus est désormais terminée, Symantec, qui travaille avec Twitter pour contrer ce type de campagne, conseille à chaque utilisateur de smartphone la même vigilance que pour un ordinateur.

Pour plus d’informations, rendez-vous sur le blog Symantec Security Response.

Et pour le “Japonais sans peine“, débrouillez-vous !

Il me semble très utile et sécurisant de savoir quelles permissions une application Android (.APK) va demander lors de son installation, notamment si on n’en connaît pas précisément la provenance.

C’est désormais possible grâce au widget ” COMPARE ANDROID APP PERMISSIONS” (encore en version bêta), mais déjà très riche d’enseignements ! En effet, on peut se demander pourquoi un jeu très populaire, un outil de retouche photo, ou toute autre application, à besoin par exemple :

- de vous géolocaliser

• Access coarse location sources such as the cellular network database to determine an approximate phone location, where available. Malicious applications can use this to determine approximately where you are

- d’avoir accès au téléphone

• Allows the application to access the phone features of the device. An application with this permission can determine the phone number and serial number of this phone, whether a call is active, the number that call is connected to and the like.

- de lire vos données personnelles

• Allows an application to read all of the contact (address) data stored on your phone. Malicious applications can use this to send your data to other people.

- d’accèder à la carte SD

• modify/delete SD card contents – Allows an application to write to the SD card

- empêcher le smartphone de s’éteindre

• Allows an application to prevent the phone from going to sleep

- d’accepter des messages depuis le cloud

• Allows the applications to accept cloud to device messages sent by the application’s service. Using this service will incur data usage. Malicious applications may cause excess data usage

Trust, but verify !

Proverbe.

Et hop, un nouveau terme dans le grand dictionnaire des attaques et autres maliciels :

ATTACK + TAGGING = ATTAGGING !

L’idée est donc d’utiliser les QR Codes comme vecteur d’attaque des smartphones et de leur utilisateur, et de la même manière qu’avec les URL raccourcis, diriger automatiquement vers un site malveillant, dans le but classique de nuire.

Rappelons au passage, que la lecture d’un QR Code permet directement de :

• naviguer vers un site internet, ou mettre l’adresse d’un site dans les favoris
• faire un paiement direct via son smartphone
• ajouter une carte de visite virtuelle dans les contacts, ou un événement dans l’agenda
• déclencher un appel vers un numéro de téléphone ou envoyer un SMS
• fournir des données de geo-localisation
• télécharger une application mobile
• …..

Et rien n’arrêtera la progression des QR Codes tant l’intérêt est évident, à la fois pour les émetteurs sur un plan commercial ou de communication et les utilisateurs compte tenu de la simplicité d’emploi.

Il s’est même vendu des “décalcomanies” QR Codes, tatouages parlants éphémères, lors de la Saint-Valentin, pour déclarer sa flamme !

Mais attention, des auto-collants permettant de remplacer de vrais QR codes seraient déjà en circulation…

Alors, si vous avez un doute, et comment pourrait-il en être autrement, voici un outil gratuit et semble-t-il très apprécié, pour vérifier l’innocuité d’un QR Code AVANT de le “flasher” : NORTON SNAP.

Disponible pour iOS via iTunes ou Android sur le marché Android.

Parmi les centaines de millions d’applications disponibles pour nos smartphones et tablettes, on trouve “Dog Wars“, un jeu de combat de chiens !

Comment dire…..

Mais l’association PETA (People for Ethical Treatment of Animals) a choisi un moyen de réagir, en publiant une version modifiée (…) qui, dès l’installation, envoie un SMS à tous les contacts enregistrés, dévoilant de se fait son goût particulier à tout son répertoire !!!

Par ailleurs, le joueur sera ajouté aux listes de distributions de PETA, et recevra ainsi leur messages d’informations…

Ce genre de technique avait déjà été utilisé il y a quelque temps, rappellez-vous d’Android Walk&Text.

Le monde de la réalité a ses limites; le monde de l’imagination est sans frontières.

Jean-Jacques Rousseau

La grande tendance au naturisme numérique d’un grande majorité de nos contemporains 2.0 ne suffisait-elle pas ?

ou a-t-elle simplement donné des idées ? (remember le fameux PLEASEROBME.COM)

L’utilisation (compulsive ?) de réseaux sociaux, ou autres outils de micro-blogging pour dévoiler en permanence ce que l’on fait, ou l’on est, avec qui et ce que l’on en pense était déjà une source d’informations personnelles (privées ?) incroyable…

Voici les nouvelles moissonneuses de données personnelles : les applications pour nos smartphones et autres tablettes !

Un nombre impressionnant d’applications qui “récupèrent” de manière plus ou moins explicite et agressive les informations disponibles sur les appareils mobiles connectés; un exemple très simple :

 Le but est évidement de d’utiliser ou de revendre ces informations, à des fins marketing, commerciales, voir malveillantes…

Comme démonstration, je recommande fortement de jeter un oeil à cette application développée par le Wall Street Journal, et qui présente de manière claire et synthétique, parmi les applications iPhone et Android les plus populaires, quelles données sont récupérées et vers qui elles sont envoyées !

Cliquer sur l’image pour tester en vrai :

Mais la vrai question reste : comment le savoir et comment réagir ?

Thèmes qui seront abordés (j’imagine…) lors du très prochain MOBILE WORLD CONGRESS de Barcelone…dont tous les participants vont sans nul doute contribuer eux-mêmes, en s’empressant de télécharger l’application de l’événement, non ?

Un site à découvrir, qui permet de sortir des graphiques pleins d’enseignements, mais je vous laisse jouer…en cliquant sur l’image ci-dessous :

Quelques exemples :

Les OS mobiles sur les 3 dernières années, dans le monde :

Idem, pour la France :

(je suis quand même surpris par les chiffres Symbian et BB en France…)

A noter également des recherches possibles par :

• Navigateur (et version)
• Navigateur mobile
• Système d’exploitation (et sur mobile)
• Moteur de recherche (et mobile)
• Médias sociaux
• …

Et pour tous les pays, y compris l’Antarctique, pour savoir avec quoi téléphonent les pingouins !!!