Quels sont les risques sur l’utilisation des applications bancaires sur Android ?

janvier 29, 2020 Aurélie Barrez Business 0

Selon une étude menée par des spécialistes, 75% des applications bancaires sur Android sont exposées à des vulnérabilités très graves. En fait, certaines applications malveillantes de vol de mot de passe à usage unique s’exécutent souvent sans aucune autorisation. Récemment, un nouveau cheval de Troie Gugi a été publié. Il a forcé les utilisateurs à lui donner le droit de superposer des applications authentiques, envoyer et afficher des messages SMS, passer des appels et autres actions. 

Le danger croissant associé à la sécurité mobile est choquant. Il y a tellement de menaces pour les utilisateurs mobiles aujourd’hui, alors que faut-il changer pour protéger les smartphones ?

Quel est le problème ?

L’utilisation d’un smartphone s’infiltre dans la vie de tous les jours, notamment dans votre capacité à effectuer de nombreuses tâches banales à partir de votre fauteuil. Les services bancaires mobiles en sont un bon exemple. Le problème est que cette fonctionnalité présente certains risques. Des chercheurs ont découvert que la plupart des vulnérabilités des services bancaires mobiles en ligne sont classées comme étant de gravité moyenne. Cependant, la combinaison de ces “bugs” peut facilement avoir un impact critique sur un système. 

Quel est le danger ?

Par exemple, si la connexion est effectuée via un code PIN court avec des identifiants de session stockés dans le système de fichiers, un hacker ayant un accès physique à l’appareil peut usurper la réponse d’un serveur Web. Et chaque fois qu’un code PIN incorrect est saisi, le serveur renvoie la vraie valeur. De cette façon, un pirate informatique peut obtenir le contrôle total du compte personnel d’un utilisateur, y compris la modification des paramètres ou l’exécution de transactions. 

L’un des systèmes testés par un chercheur a permis à un hacker d’accéder à la banque mobile d’un utilisateur, exploitant un transfert de données non sécurisé. Dans ce cas, le système facilite l’utilisation de certificats auto-signés tout en transférant des données via HTTPSD malgré l’évolution constante des fonctions de sécurité, telles que la récente mise à jour d’Android 60 Marshmallow permission. La nouvelle génération de cheval de Troie Android a évolué de manière similaire et ne rencontrent aucun problème pour contourner ces mesures. 

Des nouvelles générations de cheval de Troie

Par ailleurs, une nouvelle version du raiding compte bancaire sur Android Trojan Gugi, a été découverte. Ce logiciel malveillant vole les identifiants bancaires mobiles des utilisateurs en superposant leurs applications bancaires authentiques à des applications contrefaites. Cette dernière version avait été conçue pour contourner les nouvelles fonctions de sécurité du V6 qui avaient été introduites pour bloquer les attaques de hameçonnage et de rançon. 

Hummer est un autre cheval de Troie pour smartphone. Ce logiciel malveillant crée des racines dans le périphérique pour obtenir des privilèges d’administrateur qui provoquent ensuite des fenêtres publicitaires, ainsi que l’installation d’applications, de jeux, de pornographie et même de logiciels malveillants indésirables en arrière-plan.

Depuis 2014, les taux d’infection ont grimpé en flèche. Un rapport fait état d’une moyenne quotidienne de 12 millions d’appareils touchés. En supposant que les criminels sont en mesure de générer 0,50 euro par infection, cela pourrait rapporter jusqu’à 500 000 euros par jour. 

La vulnérabilité la plus dangereuse est sans doute le “facteur humain”. Cet été, des milliers d’utilisateurs de smartphones se sont infectés avec de fausses applications Pokemon Go qui pouvaient les suivre, écouter leurs appels ou installer une porte dérobée pour de futurs vols. 

Le nombre de victimes de certains chevaux de Troie Android a décuplé en seulement deux mois. Les criminels utiliseront toujours diverses techniques pour voler de l’argent. La simplicité des paiements mobiles pourrait être l’ennemi, car il est beaucoup plus facile pour les fraudeurs de tromper les individus à pousser un bouton pour effectuer un paiement instantané.

La sécurité n’est plus un choix

Voici quelques idées pour contrer les menaces actuelles des smartphones.

  • Les experts en sécurité s’entendent pour dire que les utilisateurs ne devraient jamais jailbreaker un périphérique, car cela peut contourner la protection intégrée du système d’exploitation.
  • En tandem, lorsqu’une mise à jour est disponible, les utilisateurs doivent les installer dès que possible, car le plus grand nombre possible d’entre eux inclura des mises à jour de sécurité.
  • Éviter l’infection doit d’abord être une priorité absolue. Par défaut, vous pouvez installer des applications uniquement à partir de Google Play, mais Android vous permet de changer cela. En tant qu’utilisateur Android, vous devriez toujours installer des applications uniquement à partir du marché officiel pour réduire le risque de programmes malveillants. De même, les gens doivent avoir un bon contrôle des impulsions et ne jamais cliquer sur des liens envoyés par texte à partir de nombres aléatoires.
  • Si vous dirigez une entreprise, il pourrait être difficile de convaincre tous les employés d’appliquer les processus et les règles de sécurité à tous les appareils personnels ou même corporatifs. Cependant, les règles peuvent être forcées en appliquant des politiques de sécurité mobile via les systèmes MDM (Mobile Device Management) ou Microsoft Exchange, par exemple.
  • Il existe des systèmes de sécurité qui peuvent surveiller, détecter et alerter les comportements suspects des applications.
  • Lors de l’installation des applications, assurez-vous de vérifier les permissions requises par l’application. De nombreux systèmes d’exploitation permettent aux utilisateurs de voir à quoi chaque application a accès et d’y apporter des modifications. Demandez-vous si l’application gratuite ”flashlight” qui demande l’accès à la liste de contacts du téléphone vaut vraiment la peine d’être installée.
  • Le conseil le plus simple est d’éviter les opérations risquées, comme les transferts d’argent, via les applications mobiles Android.
  • Enfin, si vous ne le feriez pas sur un PC, ou dans le monde réel d’ailleurs, ne le faites pas sur votre téléphone portable.

Dans un monde où les smartphones sont devenus une nécessité, les derniers risques de sécurité associés aux applications mobiles doivent être traités. L’ignorance n’est pas une défense.

Autres articles similaires:

  1. Rachat de Semantic Machines par Microsoft
  2. Cloud et gestion du patrimoine, OBS rejoint Additiv
  3. Le marketing des réseaux sociaux en quatre étapes
  4. Monter un site e-commerce pour vendre du CBD

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*