Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Siri: Un attaquant pourrait recuperer des données sensibles via le système vocal

20 Janvier 2015 , Rédigé par nicko Publié dans #informatique

Des chercheurs attirent l'attention sur des attaques fondées sur la stéganographie

Siri: Un attaquant  pourrait recuperer des données sensibles via le système vocal

Des chercheurs Italien et Polonais ont réussi à mettre au point une attaque qui utilise le flux audio de Siri sur le serveur d'Apple qui pourrait envoyer une information privée volé d'un Iphone a un attaquant.

L'exfiltration d'information se fait en intégrant le trafic vocal, qui est ensuite interceptée par l'acteur de la menace grâce à une technique man-in-the-middle. C'est essentiellement par la stéganographie, que sont dissimulées les données dans un conteneur qui préserve ses propriétés intactes.

 

Des données secrètes cachées dans le flux vocal

 

Luca Caviglione (Conseil national de recherches Italien) et Wojciech Mazurczyk (Université de Technologie de Varsovie) ont appelés l'attaque iStegSiri, ils décrivent comment elle fonctionnerait dans un papier sur Arxiv .(PDF ci-dessous)

 

Les deux chercheurs ont observé que lorsque Siri reçoit une commande vocale de son propriétaire, est renvoyé en réponse une représentation textuelle sur le cloud d'Apple.

Si des bits secrets avec des informations sensibles sont intégrées dans l'audio envoyé au serveur, puis la communication interceptée, un attaquant pourrait extraire l'info supplémentaire dans le flux et le décoder.

"Plus précisément, iStegSiri est basé sur trois étapes. Dans l'étape 1, le message secret est converti en une séquence audio sur la base de l'alternance de voix et de silence. Dans l'étape 2, le modèle acoustique est fourni à Siri comme entrée via le microphone interne. Par conséquent, le dispositif va produire du trafic vers le serveur distant qui nécessite une conversion audio-texte ", a écrit le duo dans le document.

"Dans l'étape 3, le destinataire de la communication secrète inspecte passivement la conversation et en observant un ensemble spécifique de caractéristiques, applique un système de décodage pour extraire l'information secrète», ont ajouté Caviglione et Mazurczyk.
Les attaques par stéganographie-ne sont pas improbab
le


Les chercheurs ont dit que les algorithmes utilisés pour la synchronisation, la réduction de latence et des retards de paquets n'ont pas permis de manipuler la totalité du trafic de sorte que l'altération pourrait passer inaperçu; pour atteindre leur objectif le tous est séparé en plusieurs composants qui représentent des périodes de pause et de conversation.

Ce faisant, ils ont été capables de coder des 1 et 0 dans le flux de données, et ainsi transmettre des éléments d'information secrètement. Ils ont dit que l'attaque iStegSiri pourrait fournir des données secrètes à un taux d'environ 0,5 octets par seconde. Appliqué à un numéro de carte, le temps nécessaire serait d'environ deux minutes.

Ce type d'attaque est seulement une manifestation destinée à l'industrie de la sécurité pour prendre les précautions pour empêcher un compromis qui pourrait être perpétré de cette manière.

Caviglione et Mazurczyk attirent l'attention sur le fait que pour iStegSiri soit réussie, le périphérique iOS doit être jailbreaké, pour avoir accès aux fonctions internes de Siri, et avoir la possibilité d'intercepter le trafic envoyé par l'assistant personnel du serveur.

Siri n'est pas le seul logiciel où la stéganographie pourrait servir à voler des informations. Il pourrait être remplacé par des produits fonctionnant de façon similaire, comme Shazam et Google Voice.

Source: Softpedia

Partager cet article

Repost 0

Commenter cet article

Serveur vocal 23/04/2015 17:46

Cette faille de sécurité n'existe que dans certains certains vocaux. Les systèmes de sécurité sont très développés.

référencement 26/01/2015 14:09

Un autre avantage de Tux Guitar c’est aussi le fait qu’il reproduit aisément les partitions sous format MIDI, tout en affichant d’une manière séparée chacun des instruments. Ensuite, il sera libre à l’utilisateur d’en supprimer ou de se faire accompagner d’une batterie ou d’une basse par exemple.