Les smartphones vendus aujourd’hui possèdent tous un accéléromètre, il permet de mesurer l’accélération linéaire (m/s²) de l’appareil et est utilisé aussi bien pour la navigation, déterminer l’orientation d’un smartphone ou d’une tablette ou mesurer la distance parcourue dans les trackers d’activité. De ce fait, nombre d’applications l’utilisent, comme celles dédiées aux bracelets connectés.
Cinq chercheurs de l’université du Michigan et de Caroline du Sud ont réussi à pirater l’accéléromètre de plusieurs appareils et par la même, les données qu’il transmet avec de simples ondes sonores. C’est ce que dévoile leur article scientifique (ici en PDF) qu’ils présenteront lors du IEEE (Symposium européen sur la sécurité et la vie privée) qui doit se tenir en avril prochain à Paris.
Smartphones, bracelets connectés et voiture miniature piratés
Grâce à cette vulnérabilité, ils ont réussi à prendre le contrôle du moniteur et ajouter des pas à un bracelet Fitbit, simplement en jouant un fichier musical « malveillant » depuis le haut-parleur d’un smartphone, ont-ils précisé au New York Times.
« C’est un peu comme le chanteur d’opéra qui arrive à casser un verre grâce à sa voix, sauf que dans notre cas, on peut épeler des mots », indique Kevin Fu, l’un des auteurs de l’article. « On peut le voir comme un virus musical ».
Une faille découverte sur plus de la moitié des 20 marques embarquant l’accéléromètre de 5 fabricants de puces qu’ils ont testé. Les accéléromètres sont des microsystèmes électromécaniques (MEMS) qui bougent en fonction des mouvements du téléphone. De ce fait, les vibrations sonores peuvent avoir des incidences sur sa perception des mouvements, et donc en créer là où il n’y en a pas.
Un défi pour la sécurité des objets connectés ?
Les chercheurs ont reproduit leur test sur un jouet, en l’occurrence une voiture radio-commandée contrôlée par une application : sans compromettre son microprocesseur, ils sont parvenus à modifier sa trajectoire en forçant l’accéléromètre à produire des valeurs incorrectes, explique le NYT
Si les objets piratés peuvent paraître anodins, il n’en sera pas de même en cas de piratage de dispositifs médicaux, tel qu’une pompe à insuline, dont l’automatisation du dosage est contrôle par l’accéléromètre.
D’autres détournements ont déjà été opérés par le passé : en 2014, des chercheurs en sécurité de Stanford ont utilisé l’accéléromètre comme microphone rudimentaire. Trois ans avant, un groupe du MIT et de Georgia Tech (Atlanta) ont réussi à décoder 80 % des mots tapés sur un clavier d’ordinateur situé à proximité d’un smartphone en capturant les vibrations du clavier.
Des détournements pour le moins surprenants, sur des objets qui promettent d’envahir notre quotidien.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Moi je pirate un smartphone tous les jours en tapant le code avec un “virus digital”.
Pour information IEEE n’est pas l’acronyme de l’évènement mais d’une organisation (https://fr.wikipedia.org/wiki/Institute_of_Electrical_and_Electronics_Engineers) qui organise l’évènement.
Vu la méthode , le TREX de Jurassic Park pourrait pirater un fitbit
Ouais bon… Ils arrivent à faire en sorte que les données soient foireuses… OMG!!!! On m’a piraté ma montre!!! Elle dit que j’ai fait 100000 pas par seconde, je vais exploser! X)
ça à l’ai anodin comme ça, mais ce genre de petit détail, ya des ptits malin qui peuvent faire de gros dégât avec…
Je vois pas comment, vu les produits et le fait que l’on ne peut pas exécuter du code arbitraire…
C’est pour ça que c’est des ptits malin : ils trouvent toujours des moyens d’utiliser ce genre de détail d’une manière à laquelle on aurait pas pensé…