La BGU (Israël) montre le vol d’informations à partir des mouvements de doigts sur écran tactile
[:fr]
Une étude réalisée par des chercheurs en cyber-sécurité de l’Université Ben Gourion du Néguev (BGU) a démontré qu’il était possible d’obtenir des informations personnelles sur les individus en traquant les interactions des doigts sur un écran tactile à partir de logiciels malveillants. Les grands noms de l’industrie font souvent appel à des sous-traitants qui fournissent un service, tel que le service après-vente. Concernant les écrans tactiles, les pièces de remplacement peuvent provenir de ce type de sous-traitants. Cependant, il a été démontré que des logiciels malveillants peuvent se cacher dans le code de ces pièces de rechanges.
L’objectif du Dr. Yossi Oren a été d’utiliser le machine learning, qui consiste en un programme d’intelligence artificielle capable d’apprendre automatiquement à partir des informations qu’il analyse. Cela concerne la conception, l’analyse, le développement et l’implémentation de méthodes permettant à une machine (au sens large) de remplir des tâches complexes à l’aide de moyens algorithmiques plus classiques.
Le Dr. Oren a présenté ses résultats lors du deuxième symposium international sur la cyber-sécurité, la cryptographie et le machine learning (CSCML), qui s’est déroulé les 21-22 juin 2018 à Beer-Sheva en Israël. Les résultats ont été publiés dans la revue scientifique Springer. L’équipe de chercheurs comprend les étudiants de premier cycle de BGU, Moran Azran, Niv Ben-Shabat et Tal Shkonik.
Cette analyse a été réalisée afin d’évaluer la quantité d’information que les hackers pourraient soutirer à partir de l’observation et de la prédiction de nos interactions avec nos écrans. Dans ce contexte, un hacker pourrait mettre au point des attaques plus spécifiques et efficaces. Par exemple, l’attaquant peut savoir quand il doit voler des informations à l’utilisateur ou « insérer » des touches malveillantes.
Pour quantifier les informations qui peuvent être obtenues en interagissant avec un écran tactile, le Dr. Yossi Oren et son équipe ont analysé les interactions d’un utilisateur classique : ils en ont ainsi enregistré plus de 160, exécutant différentes tâches dans des applications spécifiquement créées pour l’étude.
Plus précisément, les chercheurs ont conduit leur expérimentation sur un groupe de quarante étudiants de troisième année de BGU. Les sujets étaient tenus de remplir un questionnaire personnel comprenant des questions telles que l’âge, le sexe et la main tenant habituellement le téléphone portable, ainsi que la manière dont le sujet tient le téléphone portable (ex : à deux mains), la dernière fois qu’il a joué sur son téléphone portable ou encore la dernière fois qu’il a pris un café. De plus, on a demandé aux sujets s’ils connaissaient certains jeux.
Dans la deuxième étape de l’expérience, chaque sujet a été invité à enregistrer quatre sessions d’interactions tactiles différentes sur le téléphone de test. Tout d’abord, les sujets ont été invités à jouer au jeu Color Infinity. L’objectif de ce jeu est de passer une balle à travers divers obstacles. Le jeu entraîne des touches rapides et courtes sur l’écran. Ensuite, les sujets devaient jouer à un jeu appelé « Briques ». L’objectif de ce jeu est de déplacer les briques d’une certaine couleur au moment où la couleur de la brique change. Ce jeu induit des touches continues sur l’écran. Lorsque les sujets ont fini de jouer, ils ont été invités à lancer le navigateur web du téléphone et à effectuer une recherche sur internet en tapant le mot « Facebook » dans la barre de recherche du navigateur.
Enfin, les sujets ont été invités à rentrer dans une application e-mail sur le téléphone portable et à envoyer un e-mail comprenant un objet et une ligne de texte. Les chercheurs ont ensuite utilisé une méthode machine learning pour déterminer la vélocité, la durée et les intervalles de touche sur des téléphones LG Nexus Android spécialement modifiés. Selon les chercheurs, l’apprentissage de la machine a été capable de déterminer le contexte d’activité de l’utilisateur à partir des données tactiles fournies, avec un taux de prédiction de plus de 92% parmi les 4 contextes d’activité évalués. En utilisant cette analyse de façon défensive, les ingénieurs ou spécialistes de la cybersécurité pourraient être en mesure d’arrêter des attaques, en identifiant les anomalies dans l’utilisation typique d’un téléphone par un utilisateur et en prévenant l’utilisation non autorisée ou malveillante d’un téléphone.
Source : BGU
Rédacteur : Henri-Baptiste Marjault – henri.marjault@mail.huji.ac.il – doctorant à l’Université hébraïque de Jérusalem, pour le BVST
[:en]
A team of cybersecurity researchers at Ben-Gurion University of the Negev has demonstrated that valuable user information can be exfiltrated by tracking smartphone touch movements to impersonate a user on compromised, third party touchscreens while sending emails, conducting financial transactions or even playing games.
Broken smartphone touchscreens are often replaced with aftermarket components produced by third-party manufacturers that have been found to have malicious code embedded in its circuitry.
« Our research objective was to use machine learning to determine the amount of high-level context information the attacker can derive by observing and predicting the user’s touchscreen interactions, » says Dr. Yossi Oren, a researcher in the BGU Department of Software and Information Systems Engineering. « If an attacker can understand the context of certain events, he can use the information to create a more effective customized attack. »
For example, a hacker can learn when to steal user information or how to hijack the phone by inserting malicious touches. The researchers recorded 160 touch interaction sessions from users running many different applications to quantify the amount of high level context information. Using a series of questions and games, the researchers employed machine learning to determine stroke velocity, duration and stroke intervals on specially modified LG Nexus Android phones.
According to the researchers, the machine learning results demonstrated an accuracy rate of 92 percent.
« Now that we have validated the ability to obtain high level context information based on touch events alone, we recognize that touch injection attacks are a more significant potential threat, » Dr. Oren says. « Using this analysis defensively, we can also stop attacks by identifying anomalies in a user’s typical phone use and deter unauthorized or malicious phone use. »
Dr. Oren presented the findings at the Second International Symposium on Cybersecurity, Cryptography and Machine Learning (CSCML) June 21-22 in Beer-Sheva, Israel. The findings were published by Springer in the Lecture Notes on Computer Science. The team of researchers includes BGU undergraduate students Moran Azran, Niv Ben-Shabat, and Tal Shkonik.
The research was supported by Israel Science Foundation grants 702/16 and 703/16.
[:]
