Une connexion qui s’établit quand le doigt parcourt l’écran au-delà d’une certaine vitesse, un SMS qui est envoyé lorsque l’utilisateur se trouve à un certain endroit et à une certaine date, des données personnelles copiées quand on cliqué sur une certaine fenêtre ou uniquement sur certains terminaux… De plus en plus d’applications mobiles Android ont des comportements étranges, que l’utilisateur ne remarque pas et qui peuvent impacter la sécurité de l’appareil ou la sphère privée de l’utilisateur. Le but, souvent, est de voler des données, d’afficher de manière agressives des pubs, de piéger l’utilisateur, etc. Bref, des choses par forcément très avouables.
Malheureusement, ces « opérations cachées et sensibles » (Hidden Sensitive Operations, HSO) ne sont pas aisées à découvrir. Les conditions d’exécution bizarres mentionnées plus haut ne sont pas le fruit du hasard. Ces « triggers » permettent, justement, de faire en sorte que ces fonctions n’apparaissent pas dans un environnement d’exécution de test, par exemple au sein d’une machine virtuelle. Elles permettent ainsi de contourner les analyses automatiques effectuées par les magasins applicatifs.
Détection par intelligence artificielle
A l’occasion de la conférence Network and Distributed System Security Symposium (NDSS), des chercheurs des universités américaines de Bloomington et de Riverside viennent de présenter une méthode d’analyse statique des fichiers exécutables (APK) permettant non seulement de parcourir les différents fils d’exécution d’une application mobile, mais aussi – grâce à des algorithmes d’intelligence artificielle – de détecter ces fonctions secrètes.
Les chercheurs ont ainsi scanné 338.354 applis dont 124.207 provenaient de Google Play Store et 214.147 de Virus Total, une plateforme d’analyse de sécurité. Résultat : 18,7 % des applications contenaient des HSO ! C’est énorme. D’après les chercheurs, ces fonctions secrètes ont même tendance à être échangées sur les forums de développeurs. Ce qui explique peut-être aussi ce phénomène de masse.
Attention : les HSO ne sont pas forcément illégitimes. Mais dans leur étude, les chercheurs montrent qu’ils sont souvent implémentés dans des applications potentiellement malveillantes (« Potential Harmful Application », PHA). Espérons que grâce à cette nouvelle méthode, baptisée « HSOMiner », les magasins applications pourront désormais mieux trier le bon grain de l’ivraie.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
