La mémoire partagée, faille d’application tel que Gmail.
Une équipe d'ingénieurs américains a développé une méthode qui leur permet de pirater avec succès des applications dont Gmail avec une réussite évalué à 92 pour cent.
Ils ont identifié une faiblesse censé exister dans Android, Windows et iOS (uniquement les OS pour smartphone) qui pourraient être utilisés pour obtenir des informations personnelles des utilisateurs sans méfiance.
Les chercheurs ont testé leur méthode et ont découvert qu'elle réussissait entre 82 pour cent et 92 pour cent du temps sur six des sept applications populaires qu'ils ont testés.
Parmi les applications qu'il était facile à pirater Gmail, Chase Bank et H & R Block.
Amazon, avec un taux de réussite de 48 pour cent, était la seule application ou il était réellement difficile d'y pénétrer.
Une fois qu'un utilisateur télécharge un tas d'applications pour son téléphone intelligent, toutes ces applications sont en cours d'exécution sur la même infrastructure.
"L'hypothèse a toujours été que les applications ne peuvent pas interférer les unes avec les autres facilement. Nous montrons que cette hypothèse n'est pas correcte et qu'une application peut en effet avoir un impact significatif sur les autres et entraîner des conséquences néfastes pour l'utilisateur ", a expliqué Zhiyun Qian, professeur adjoint à l'Université de Californie Riverside de Bourns College of Engineering.
L'attaque fonctionne en invitant un utilisateur à télécharger une application en apparence bénigne, mais en réalité malveillantes, tels qu' une application gérant un pour fond d'écran sur son téléphone.
Une fois que l'application est installée, les chercheurs sont en mesure d'exploiter un canal latéral publique nouvellement découvert - les statistiques de mémoire partagée d'un processus, qui peut être consulté sans aucun privilège.
La mémoire partagée est une fonctionnalité du système d'exploitation commun pour permettre efficacement les données des processus d'actions.
Augmentée avec quelques autres canaux latéraux, l'équipe a montré qu'il était possible de suivre de façon assez précise en temps réel l'activité d'une application.