Car à défaut d’avoir accès à la principale composante d’un téléphone qui permet de capter un signal sonore, des chercheurs de l’université Standford et de l’autorité israélienne pour le développement d’armes et de technologie militaire Rafael sont parvenus à détourner la vocation de cette autre composante, dont l’accès est beaucoup moins restreint, afin qu’elle remplisse la même fonction.
Dan Boneh, professeur de sécurité informatique à Stanford, espère que cette démonstration servira d’avertissement à Google afin qu’elle apporte des changements à son système d’exploitation.
Vous avez bien compris : il est possible d’enregistrer le bruit environnant de votre téléphone grâce à son gyroscope.
Bien que cette composante est conçue pour permettre à une application de connaître avec précision l’orientation physique du téléphone, elle est suffisamment sensible pour permettre à un pirate d’écouter clandestinement les conversations qui se déroulent à proximité de l’appareil.
Il suffit de développer une application attrayante dissimulant le code exploitant le gyroscope de cette façon, d’inciter le propriétaire de l’installer sur son téléphone, et le tour est joué.
Comment ça fonctionne?
Comme l’explique l’article de Wired, le gyroscope comprend une petite plaque à l’intérieur qui bouge selon l’orientation de l’appareil. Cette plaque peut également vibrer, et les chercheurs ont conçu une application – Gyrophone – qui utilise une fonctionnalité d’Android pour mesurer les vibrations à 200 hertz, soit assez rapide pour capter la voix humaine.
À l’aide d’un logiciel de reconnaissance vocale, ces derniers sont parvenus à identifier correctement 65% des chiffres prononcés dans la même salle que l’appareil. Dans 84% des cas, les chercheurs sont parvenus à identifier le sexe de l’interlocuteur avec succès. Finalement, avec un taux d’efficacité de 65%, ils sont parvenus à distinguer jusqu’à 5 voix différentes dans une même séance.
Selon Dan Boneh, professeur de sécurité informatique à Stanford, il sera possible d’améliorer les algorithmes du logiciel de reconnaissance vocale afin d’augmenter l’efficacité de ce type d’écoute électronique. Il espère que cette démonstration servira d’avertissement à Google afin qu’elle apporte des changements à son système d’exploitation. Rappelons qu’il est impossible de restreindre l’accès d’une application au gyroscope d’un téléphone Android.
Fait intéressant : tandis que les versions mobiles de Chrome et Safari limitent la lecture depuis le gyroscope à 20 hertz, Firefox permet d’utiliser cette fréquence à 200 hertz. Autrement dit, une page web pourrait exploiter le gyroscope de votre téléphone de la même façon.
À noter que les travaux de recherche sur cette façon d’exploiter le gyroscope seront présentés la semaine prochaine à Usenix, la conférence dédiée à la sécurité informatique.