23 octobre 2019

Retour sur la Hack.lu – Jour 1

Smartphone apps: let’s talk about privacy

Par Axelle Apvrille

Axelle Apvrille a eu l’honneur de présenter la première conférence à la 15e édition de la Hack.lu. La présentatrice est chercheuse en sécurité et travaille chez Fortinet. Elle s’intéresse particulièrement aux logiciels malveillants mobiles et aux équipements intelligents.

De plus en plus d’applications mobiles sont créées pour répondre au besoin du quotidien de notre vie ou encore pour nous divertir. Qu’en est-il de notre vie privée ? À quel niveau est-elle impactée ? La population moyenne a-t-elle conscience de l’ampleur du problème ?

Pour répondre à ces questions, la chercheuse a analysé plusieurs applications mobiles authentiques et bien connues telles que : Instagram, Snapchat, WhatsApp, Signal et Waze.

Tout d’abord, elle a présenté les outils qui ont été utilisés pour arriver à ces conclusions (notamment Frida et son propre outil DroidLysis – https://github.com/cryptax/droidlysis). L’outil qu’elle a développé permet de décompiler automatiquement les binaires Android et d’identifier des appels d’exécutables ou encore d’analyser les informations sensibles qui sont récupérées par l’application. Un rapport est généré à la fin de son exécution. Dans le cadre de son analyse, plusieurs critères ont été sélectionnés, nous pouvons retenir les suivants :

  • Récupération de la localisation GPS
  • Récupération du numéro IMEI (identifiant du téléphone)
  • Récupération de l’adresse email Gmail
  • Récupération de la liste des applications installées sur le téléphone
  • Récupération des fichiers de journalisation
  • Vérification si le téléphone dispose des permissions super-utilisateur (root)
  • Vérification si l’application est attachée à un débugger
  • Récupération du nombre de permissions requises

Dans l’ensemble, quasiment toutes les applications mobiles récupèrent la géolocalisation et le numéro IMEI des téléphones. Certaines applications comme Instagram récupèrent de plus toute la liste des applications installées sur le téléphone Android. Cette liste permet ainsi de réaliser du profilage sur les utilisateurs de l’application mobile.

Par la suite, la chercheuse a mis en évidence deux types d’applications mobiles existantes : celles qui demandent très peu d’espace disque et les autres qui en demandent beaucoup. Dans certains contextes, celles qui en demandaient plus étaient justifiées (images, vidéos, etc.), néanmoins d’autres laissaient très clairement une quantité de bibliothèques (SDK) dans l’application non nécessaire pour son bon fonctionnement initial.

Dans son analyse, Instagram (à nouveau) présente un fichier de configuration (Android Manifest) de 535 lignes qui est largement supérieur à la moyenne des mêmes fichiers issus des autres applications mobiles. Elle a également mis en avance que l’application auditée analysait les mouvements de main, du corps et du visage… Ceci permet facilement de montrer que notre vie privée est rapidement touchée, surtout vis-à-vis de cette application.

Sa démonstration (https://www.youtube.com/watch?v=M61QM_cXvxs) montre comment il est possible d’utiliser l’outil Frida pour récupérer les requêtes HTTPS et ce qu’elles contiennent comme information (fuites vers les serveurs de bases de données).

Au final, beaucoup d’applications mobiles réalisent des actions d’analyse sur leurs utilisateurs (pour diverses raisons : tracking, amélioration du service, revente de données, etc.). Axelle conclut sa présentation en proposant des idées d’amélioration. L’une des principales idées est de laisser les personnes choisir ce qu’elles souhaitent partager comme données les concernant aux services tiers (possibilité de désactiver certaines fonctionnalités ?). La phrase de fin peut être résumée par les mots suivants : « Ce n’est pas parce que les données utilisateurs vous donnent des retours pertinents que c’est moral ».

Say Cheese – How I Ransomwared your DSLR Camera

Par Eyal Itkin

Cette année encore, le chercheur en sécurité Eyal Itkin (https://twitter.com/eyalitkin) nous présente un de ses travaux de recherche. L’année dernière, cela portait sur les fax : https://blog.bssi.fr/retours-sur-le-hack-lu-14e-edition-jour-1/

Mais cette fois, la cible est les caméras DSLR :

Le modèle utilisé pour les tests est le modèle suivant : Canon EOS 80D. Il nous explique qu’il n’y a pas de raison particulière pour le choix de ce modèle, si ce n’est que son père avait cet appareil photo et il s’est demandé s’il pouvait prendre le contrôle de cette machine. En se mettant dans la peau d’un attaquant, il se rend compte qu’un tel appareil présente des avantages. En effet, ce genre d’appareil photo étant cher, il y a de bonnes chances que les détenteurs soient des personnes de milieux plus aisés.

Il se dit donc qu’un bon moyen d’extorquer de l’argent serait de chiffrer les données de victimes via un ransomware; malware permettant de bloquer l’accès aux données et demander une rançon aux victimes.

Le travail de recherche commence donc par l’analyse du firmware de l’appareil, mais il s’avère que celui-ci est chiffré en AES. Afin de pouvoir le récupérer, il utilise un outil développé par Magic Lantern, une communauté travaillant sur l’extension du micrologiciel des réflexes Canon. Cet outil, s’appelant ROM Dumper, permet de mettre à jour le firmware et ainsi pouvoir analyser le code.

Ainsi, le code de l’appareil a pu être analysé et Eyal Itkin a pu trouver plus de 5 vulnérabilités critiques permettant l’exécution de code. Il a ainsi pu écrire des exploits impactant le protocole PTP (Picture Transfer Protocol) et les exploiter via Wi-Fi et USB de manière non authentifiée. Il ne restait plus qu’à écrire le ransomware en utilisant une fonction de la caméra déjà écrite afin de chiffrer les données et le tour est joué ! Un scénario de cette attaque pourrait être d’utiliser des réseaux Wi-Fi non sécurisés, tel que des hôtels ou aéroport et infecté les appareils connectés.

Voici une démonstration de l’exploit en vidéo : https://www.youtube.com/watch?v=75fVog7MKgg

Pour plus de détails techniques, un lien vers l’article original : https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/

New Tales Of Wireless Input Devices

Par Gerhard Klostermeier et Matthias Deeg

Gerhard Klostermeier, un consultant sénior en cybersécurité, a présenté dans cette conférence les résultats de ses recherches de vulnérabilités sur des périphériques sans-fil utilisant la bande de fréquence 2.4 GHz tels que les souris, claviers et télécommandes de présentation.

La présentation a été initiée par un résumé de l’analyse conduite sur une liste des périphériques en 2016, ensuite,  Gerhard a expliqué la méthodologie des tests qui se constitue en trois étapes :

Analyse Hardware :

  • Inspection des circuits imprimés (PCB)
  • Identifications des circuits intégrés
  • Lecture des documentations techniques 
  • Recherche de points de tests pour les broches des circuits intégrés SPI ou sur les traces de PCB
  • Soudure des fils électriques
  • Utilisation d’un analyseur logique pour analyser la communication de données entre les circuits intégrés

Analyse Radio :

  • Utilisation de plusieurs outillages et matériels (HackRF One, Ubertooth One, CrazyRadio, Clé USB Bluetooth CSR8510, BCM20702A)
  • Tests d’identification des émetteurs-récepteurs, leurs configurations et les protocoles de communications utilisés (circuits non marquées)
  • Utilisation de Linux Bluetooth stack BlueZ

Analyse Firmware

  • Lecture rapide du firmware en raison du temps limité disponible
  • Pas d’analyse de firmware sur les équipements qui n’utilisent pas le Bluetooth

Le tableau suivant résume les résultats de tests : 

Suite à l’analyse des résultats obtenus, des vulnérabilités ont été découvertes :

  • Protection insuffisante du code (firmware) et des données (clé cryptographique)
  • Communication de données non chiffrée et non authentifiée
  • Protection manquante contre les attaques par rejeu  (replay attacks)
  • Problèmes de cryptographie – attaques d’injection de frappe

L’analyse conduite a permis de définir la surface d’attaque et les scénarios possibles : avec un accès physique au périphérique d’entrée, il est possible de réaliser 3 types d’attaques :

  • Vulnérabilité 1. Attaque par Replay
  • Vulnérabilité 2. Injection de frappe de clavier
  • Vulnérabilité 3. Déchiffrement (communications de données non chiffrée et non authentifiée)

Les attaques par injection de frappes clavier s’avèrent être impactantes et efficaces. Une attaque a pu être introduite dans cette présentation. Pour laquelle, Gerhard présente les objectifs, les fonctionnements, les claviers vulnérables, une démonstration ainsi que des solutions pour s’en protéger. Ensuite une deuxième attaque intitulée Mouse spoofing exploitant la 3e vulnérabilité, a pu être présentée avec une démonstration.

Enfin des recommandations ont été présentées afin de mitiger le risque lié aux attaques sur les périphériques sans-fil, nous citons :

  • Éviter l’utilisation des équipements vulnérables (ex :  Logitech 30)
  • Choix intelligent des souris et des télécommandes de présentation (recherche si le produit et concerné par une vulnérabilité découverte et prouvée) 

Lien vers la vidéo de la présentation https://www.youtube.com/watch?v=31hWj0Fa9s0

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *