Nouvelle attaque de l'homme du milieu appelée DoubleDirect ciblant les utilisateurs d'Android et d'iPhone

Table des matières

• Nouvelle attaque de l’homme du milieu appelée DoubleDirect ciblant les utilisateurs d’Android et d’iPhone
• DoubleDirect
• Comment fonctionne DoubleDirect
• Qui est à risque ?

Nouvelle attaque de l’homme du milieu appelée DoubleDirect ciblant les utilisateurs d’Android et d’iPhone

Les chercheurs des Zimperium Mobile Security Labs ont découvert que des cybercriminels utilisent une nouvelle méthode d’attaque de l’homme du milieu pour cibler les utilisateurs de smartphones Android et iPhone, et ce, avec un certain succès. Les chercheurs de Zimperium ont nommé cette nouvelle attaque l’attaque DoubleDirect.

DoubleDirect

La technique dite DoubleDirect permet à un attaquant de rediriger le trafic d’une victime vers l’appareil de l’attaquant. Une fois redirigé, l’attaquant peut voler des identifiants et livrer des charges utiles malveillantes à l’appareil mobile de la victime qui peuvent non seulement infecter rapidement l’appareil, mais aussi se propager à travers un réseau d’entreprise, selon la société de sécurité mobile Zimperium.

Zimperium a également détecté que la technique DoubleDirect a été utilisée contre les clients de grands sites Web comme Google, Facebook, Twitter, Hotmail, Live.com, Naver.com (coréen) et d’autres. Zimperium affirme que la méthode d’attaque est exploitée largement dans au moins 31 pays à travers le monde, à savoir : Serbie • Australie • Irak • Kazakhstan • Pologne • Indonésie • Israël • Lettonie • Finlande • Mexique • Égypte • Royaume-Uni • Autriche • Colombie • Grèce • Brésil • Canada • France • Algérie • Fédération de Russie • Suisse • Italie • Allemagne • Espagne • Arabie Saoudite • Pays-Bas • Inde • Malte • Bahreïn • États-Unis et Chine.

Les chercheurs de Zimperium affirment que le principal motif des cybercriminels utilisant l’attaque DoubleDirect est d’obtenir des informations confidentielles des victimes, des identifiants d’e-mail et des identifiants, des informations bancaires et des identifiants ainsi que d’autres mots de passe.

Comment fonctionne DoubleDirect

Les attaquants utilisant la méthode DoubleDirect utilisent des paquets ICMP Redirect (type 5) pour modifier les tables de routage d’un hôte. Cette méthode est légitimement utilisée par les routeurs pour notifier les hôtes sur le réseau qu’un meilleur itinéraire est disponible pour une destination particulière. Cependant, dans le cas de l’attaque DoubleDirect, l’attaquant utilise des paquets ICMP Redirect pour altérer les tables de routage sur l’hôte victime, provoquant le flux de trafic via un chemin réseau arbitraire pour une IP particulière. En conséquence, l’attaquant peut lancer une attaque MITM, redirigeant le trafic de la victime vers son appareil. Une fois redirigé, l’attaquant peut compromettre l’appareil mobile en enchaînant l’attaque avec une vulnérabilité côté client supplémentaire (par exemple : vulnérabilité du navigateur), et à son tour, donner accès à l’attaquant au réseau d’entreprise.

Les chercheurs de Zimperium ont découvert que dans le cas de l’attaque DoubleDirect, les hackers utilisent une implémentation précédemment inconnue pour réaliser des MITM en duplex intégral en utilisant ICMP Redirect. Les attaques ICMP Redirect traditionnelles ont des limitations et sont connues pour être des MITM en demi-duplex.

Les Zimperium Mobile Security Labs ont étudié les menaces et déterminé que les attaquants sont capables de prédire les IPs auxquelles la victime accède. Zimperium a téléchargé une preuve de concept complète pour l’attaque DoubleDirect qui peut être téléchargée ici.

Qui est à risque ?

iOS : Les chercheurs de Zimperium ont noté que l’attaque DoubleDirect fonctionne sur les dernières versions d’iOS, y compris iOS 8.1.1, donc tous les iPhones sont vulnérables à cette attaque.

Android : Les chercheurs de Zimperium ont déclaré que l’attaque DoubleDirect fonctionnait sur la plupart des appareils Android, y compris le Nexus 5 avec le dernier système d’exploitation Android 5.0 Lollipop.

Mac OS X Yosemite : Les chercheurs de Zimperium affirment que les utilisateurs de Mac OS X Yosemite sont également potentiellement vulnérables, mais les utilisateurs de Windows et de Linux semblent être immunisés car les systèmes d’exploitation Windows et Linux n’acceptent pas par défaut les paquets de redirection ICMP qui transportent un trafic malveillant.

Ni Google ni Apple n’ont encore commenté officiellement les conclusions des chercheurs de Zimperium.