Bagchi-Smartwatch
À mesure que les montres intelligentes deviennent plus populaires, un nombre croissant de façons de les utiliser et d’interagir avec elles a donné lieu à des points faibles piratables dans leurs systèmes d’exploitation et leurs applications. (Crédit: Unsplash)
Téléchargez l’image

WEST LAFAYETTE, Ind. – Des chercheurs de l’Université Purdue ont découvert une grave vulnérabilité dans Google Porter OS smartwatches. Si elle n’était pas corrigée, la vulnérabilité aurait pu permettre à un attaquant de planter des applications spécifiques, de faire en sorte que l’application ou la montre ne répondent pas, ou de faire redémarrer la montre en continu hors du contrôle de l’utilisateur.

Saurabh Bagchi, professeur Purdue de génie électrique et informatiqueet son équipe a collaboré avec l’équipe de sécurité de Google pour reproduire l’attaque. Google a ensuite publié un correctif pour Wear OS et a signalé le 24 juin que la vulnérabilité avait été corrigée.

L’équipe de Bagchi a découvert la vulnérabilité à l’aide d’un outil qu’ils ont développé, appelé Vulcain. L’outil utilise une technique appelée «flou»Pour identifier les points faibles, ce qui signifie alimenter un programme ou une application de différentes permutations de données jusqu’à ce que l’une de ces permutations révèle une vulnérabilité.

Vulcan avait identifié cette vulnérabilité dans la dernière version de Wear OS (version 2.8) et 13 applications de smartwatch populaires sur Google Play, telles que Google Fit, Google Maps et Nike Run Club.

Les chercheurs ont découvert qu’un pirate pouvait contrôler une application ou la montre en manipulant le langage utilisé par les applications pour communiquer, appelé «Intents». L’envoi d’intentions soigneusement conçues à des volumes élevés et lorsque le système d’exploitation est moins stable peut surcharger l’application ou la montre.

Publicité

Bagchi et son équipe plus loin décrire comment Vulcan a découvert cette vulnérabilité Wear OS dans un document présenté virtuellement au 18e Conférence internationale ACM sur les systèmes, applications et services mobiles (MobiSys) en juin. Les co-auteurs de l’article sont les étudiants diplômés de Purdue Edgardo Barsallo Yi et Heng Zhang et le chercheur Amiya Maji. Kefan Xu, un étudiant de premier cycle invité de l’Université de Pékin, a également contribué à cette recherche.

Le travail montre une technique d’atténuation de preuve de concept. Cette atténuation ne pourrait pas être incorporée dans le système d’exploitation sans le support du fournisseur car Wear OS n’est pas open source. Une fois que Google a publié le correctif, l’équipe Purdue a ouvert la base de code pour le travail sur Github.

« On pensait que l’état d’un appareil portable ou de l’application avait une relation importante avec la stabilité du système d’exploitation », a déclaré Bagchi, qui a un rendez-vous de courtoisie chez Purdue. Département d’informatique et dirige le Centre pour des infrastructures, des systèmes et des processus résilients.

Bagchi-S20
Saurabh Bagchi (photo de l’Université Purdue / Vincent Walter)
Téléchargez l’image

«Nous sommes les premiers à démontrer qu’un état de surcharge peut être exploité pour provoquer l’arrêt et le redémarrage de l’appareil, même sans que l’adversaire ait des privilèges de niveau racine.»

Comme les appareils portables sont devenus plus populaires, un nombre croissant de façons de les utiliser et d’interagir avec eux a donné naissance à de nouveaux points faibles. En effet, chaque nouvelle fonctionnalité ajoutée à un appareil portable, comme un moniteur de fréquence cardiaque ou un électrocardiogramme, est un capteur qui est également livré avec son propre logiciel de pilote de périphérique.

«Ces pilotes de périphériques se sont révélés être un point faible dans les ordinateurs conventionnels», a déclaré Yi, l’auteur principal de ce document.

Plus de points faibles apparaîtront à mesure que les objets connectés continueront de s’interconnecter avec d’autres appareils.

« Nous avions fait un travail pour découvrir les points faibles d’Android en matière de sécurité et de fiabilité il y a environ 10 ans », a déclaré Maji. «Lorsque nous avons commencé l’enquête sur Wear OS, nous avons constaté que la plupart de ces points faibles avaient été corrigés, mais les nouveaux modes d’interaction des accessoires portables avaient donné lieu à de nouvelles vulnérabilités.»

L’équipe a commencé à développer Vulcan en 2018 pour résoudre ces problèmes, en présentant les premières conclusions à la 48e Conférence internationale IEEE / IFIP sur les systèmes et réseaux fiables.

L’aide de Vulcan à Wear OS montre qu’il peut être utilisé pour détecter des vulnérabilités dans une gamme d’applications, faisant de l’outil un atout pour les développeurs de logiciels. Comparé à d’autres outils de fuzzing, Vulcan ne modifie pas non plus l’appareil ou l’application portable car il recherche des faiblesses piratables.

«La conception spécialisée de Vulcan lui permet d’exposer automatiquement de nombreuses vulnérabilités graves dans Wear OS, même si ce produit a fait l’objet de tests et de maintenance intensifs par une grande équipe de Google», a déclaré Tianyin Xu, un expert de premier plan dans les systèmes mobiles qui n’est pas affilié. avec le projet. Xu est professeur adjoint d’informatique à l’Université de l’Illinois à Urbana-Champaign et membre du comité de programme de MobiSys.

Selon Xu, les bogues et les vulnérabilités des systèmes portables pourraient entraîner des conséquences désastreuses, en particulier dans des environnements tels que les hôpitaux. Vulcan pourrait aider à relever les défis émergents en rendant les systèmes portables plus fiables et sécurisés à mesure qu’ils deviennent plus interconnectés.

Cette recherche a été financée par un Google Faculty Research Award et la National Science Foundation.

À propos de l’Université Purdue

L’Université Purdue est une institution de recherche publique de premier plan qui développe des solutions pratiques aux défis les plus difficiles d’aujourd’hui. Classée au 6e rang des universités les plus innovantes des États-Unis par US News & World Report, Purdue propose des recherches révolutionnaires et des découvertes hors du commun. Engagée dans l’apprentissage pratique et en ligne dans le monde réel, Purdue offre une éducation transformatrice à tous. Attaché à l’abordabilité et à l’accessibilité, Purdue a gelé les frais de scolarité et la plupart des frais aux niveaux de 2012-2013, permettant à plus d’étudiants que jamais d’obtenir un diplôme sans dettes. Voyez comment Purdue ne s’arrête jamais dans la poursuite persistante du prochain saut géant à purdue.edu.

Rédacteur, contact avec les médias: Kayla Wiles, wiles5@purdue.edu (fonctionne à distance, mais fournira une réponse immédiate)

La source: Saurabh Bagchi, sbagchi@purdue.edu

Journalistes visitant le campus: Les journalistes devraient suivre Protéger les protocoles Purdue et les directives suivantes:

  • Le campus est ouvert, mais le nombre de personnes dans les espaces peut être limité. Nous serons aussi accommodants que possible, mais il se peut que l’on vous demande de sortir ou de vous présenter à un autre endroit.
  • Pour permettre l’accès, en particulier aux bâtiments du campus, nous vous recommandons de contacter le contact avec les médias du Purdue News Service indiqué sur le communiqué pour lui faire savoir la nature de la visite et l’endroit où vous vous rendrez. Un représentant du service des nouvelles peut faciliter l’accès en toute sécurité et peut vous accompagner sur le campus.
  • Portez des masques à l’intérieur de tout bâtiment du campus. Portez des masques à l’extérieur lorsque la distance sociale d’au moins six pieds n’est pas possible.

Note aux journalistes: Une photo en stock des montres connectées et un portrait de Saurabh Bagchi sont disponibles dans un Dossier Google Drive. Une vidéo expliquant comment Vulcan peut identifier les failles de sécurité est disponible via Vimeo.

ABSTRAIT

Vulcan: Leçons sur la fiabilité des objets connectés grâce au fuzzing en fonction de l’état

Edgardo Barsallo Yi1, Heng Zhang1, Amiya K. Maji1, Kefan Xu2et Saurabh Bagchi1

1Université Purdue

2Université de Pékin

Alors que nous envisageons d’utiliser des appareils Wear OS (anciennement Android Wear) pour la surveillance de la condition physique et de la santé, il est important d’évaluer la fiabilité de son écosystème. L’objectif de cet article est de comprendre les points faibles de la fiabilité dans l’écosystème Wear OS. Nous développons un outil de fuzzing sensible à l’état, Vulcan, sans privilèges élevés, pour découvrir ces points faibles en fuzzant les applications Wear OS. Nous évaluons les résultats dus à ces points faibles en analysant 100 applications populaires téléchargées sur Google Play Store. Les résultats incluent le blocage d’applications spécifiques, le blocage de l’application en cours d’exécution et le redémarrage de l’appareil. Nous proposons enfin une solution d’atténuation de preuve de concept pour résoudre le problème de redémarrage du système.

Rate this post
Publicité
Article précédentTVA offre des incitations à la technologie UV anti-virus
Article suivant5 meilleurs VPN pour le Canada | Sécurisez vos appareils
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici