Les fraudeurs utilisent une nouvelle technique pour tromper les utilisateurs d’iOS et d’Android en installant des applications malveillantes contournant les garde-fous de sécurité mis en place par Apple et Google pour empêcher l’installation d’applications non autorisées. Les deux systèmes d’exploitation mobiles utilisent des mécanismes conçus pour aider les utilisateurs à éviter les applications qui volent leurs informations personnelles, mots de passe ou autres données sensibles. iOS interdit l’installation de toutes les applications autres que celles disponibles dans son App Store, une approche largement connue sous le nom de Jardin clos. En revanche, Android est par défaut configuré pour permettre uniquement l’installation d’applications disponibles sur Google Play. Le chargement latéral, c’est-à-dire l’installation d’applications provenant d’autres marchés, doit être activé manuellement, ce que Google déconseille. Les campagnes de phishing menées ces neuf derniers mois utilisent des moyens jamais vus auparavant pour contourner ces protections. L’objectif est de duper les cibles en installant une application malveillante se faisant passer pour une application officielle provenant de leur banque. Une fois installée, l’application malveillante vole les identifiants de compte et les envoie en temps réel à l’attaquant via Telegram. « Cette technique est remarquable car elle installe une application de phishing à partir d’un site Web tiers sans que l’utilisateur ait besoin d’autoriser l’installation d’applications tierces », a écrit Jakub Osmani, analyste chez la société de sécurité ESET, mardi. « Pour les utilisateurs d’iOS, une telle action pourrait remettre en question toute hypothèse de ‘jardin clos’ en matière de sécurité. Sur Android, cela pourrait entraîner l’installation silencieuse d’une sorte spéciale de fichier APK, qui, lors d’une inspection plus approfondie, semble même avoir été installée depuis le Google Play Store ». La méthode novatrice consiste à inciter les cibles à installer un type spécial d’application appelé Progressive Web App. Ces applications reposent uniquement sur les normes Web pour offrir des fonctionnalités qui ont l’apparence et le comportement d’une application native, sans les restrictions qui les accompagnent. La dépendance aux normes Web signifie que les PWA, comme on les appelle, fonctionneront en théorie sur n’importe quelle plateforme disposant d’un navigateur conforme aux normes, ce qui les rend tout aussi opérationnels sur iOS et Android. Une fois installées, les utilisateurs peuvent ajouter les PWA à leur écran d’accueil, leur donnant une similarité frappante avec les applications natives.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du