Android est impuissant face au phishing. Tel est le constat établi par les experts de TrustWave, lors du sommet DefCon de Las Vegas.
La semaine dernière, la conférence de sécurité Black Hat avait réservé son lot de surprises, dont cette attaque symbolique à l’encontre de Chrome OS, à coup d’extensions à l’origine douteuse.
Même lieu, même victime, avec comme cadre le DefCon. Des experts en sécurité remettent le couvert et parviennent à faire du neuf avec du vieux sans que cela ne sente le réchauffé.
A peine remis de ce premier coup de grisou subi par son navigateur-OS, Google voit son androïd vert attaqué de toutes parts, « pour son bien« , selon Nicholas Perchoco.
Le vice-président et directeur du département SpiderLabs chez TrustWave annonce avoir découvert une faille au sein d’Android qui exploite les capacités multitâches des terminaux modernes. Une fonction dont les mobinautes abusent, à juste titre.
Des programmeurs mal intentionnés pourraient en effet coder leurs applications de sorte qu’elles détournent à leur avantage le dispositif de notifications intégré au système.
Le procédé s’apparente à une opération de phishing et vise un éventail de données qui va des adresses e-mail aux mots de passe.
Le principe se résume à l’apparition, dans la barre des tâches supérieure, de fausses alertes tandis que l’utilisateur est en train de consulter une autre application.
Dès lors, le bouton de retour, physique ou logique, peut être désactivé, obligeant la victime à entrer ses identifiants.
L’exemple mis en scène par Perchoco est celui d’un jeu qui mitraille (à bon escient) l’écran de prétendus messages reçus sur Facebook, Amazon, Gmail ou encore Google Voice.
Pour contrer ce démon capable de s’implanter au cœur du système et par conséquent d’être actif dès le démarrage, Google a modifié son interface de programmation (API).
Une option supplémentaire permet désormais à une application de se présenter au premier plan par surimposition (phénomène dit de « jaillissement »), bannissant ainsi les notifications.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…