Sécurité

L’application de sécurité mobile populaire utilise une méthode de cryptage sans valeur – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

De nouvelles informations ont montré que l’une des suites de sécurité les plus populaires disponibles pour Android et iOS est si fondamentalement compromise que ses affirmations constituent une fausse publicité. Cette suite logicielle, NQ Vault, promet : « Tous les fichiers seront cryptés dans un endroit privé et ne pourront être consultés dans Vault qu’après avoir entré le mot de passe correct (Version iOS).” La Version Androïddisponible sur le Google Play Store, déclare : « Vault masque et crypte toutes les alertes de messages entrants et les messages texte de ces contacts pour une confidentialité maximale.

Le programmeur et blogueur NinjaDoge24 a décidé de tester Revendications de NQ Vault et a découvert que l’utilitaire crypte uniquement les données à l’aide d’une simple substitution XOR. Pire encore, il ne prend même pas la peine de crypter l’intégralité du fichier – seuls les 128 premiers octets sont cryptés. Dans certains cas, le chiffrement des 128 premiers octets d’un fichier peut interrompre la capacité d’un utilitaire à afficher le contenu. Mais de nombreuses normes de conteneur multimédia et logiciels de lecture sont suffisamment sophistiqués pour ignorer les blocs endommagés ou reconstituer les informations manquantes en analysant le reste des données.

Comprendre XOR

XOR est défini comme une opération au niveau du bit, ce qui signifie qu’il est effectué sur des bits d’information individuels. XOR est une opération simple qui compare deux ensembles de valeurs. Si les deux valeurs sont identiques (deux zéros ou deux uns, en code binaire), alors la sortie est un 0. Si les deux valeurs sont différentes (0 et 1), alors la sortie est 1. Le tableau ci-dessous montre comment le XOR L’opération peut être utilisée pour générer un nouvel ensemble de valeurs.

Psssssst :  La situation d'Equifax continue de s'aggraver - High-teK.ca

XOR-Vérité

Malwarebytes a a publié une entrée de blog qui explique comment effectuer un cryptage XOR. C’est un processus simple – chaque lettre à chiffrer est XOR par rapport à une clé cryptographique présélectionnée. Le problème avec le logiciel de NQ Vault n’est pas qu’il utilise XOR ; XOR est en fait un composant important de plusieurs normes cryptographiques. Le problème avec NQ Vault est qu’il est seulement en utilisant XOR, et il l’utilise d’une manière triviale à craquer.

Choisir des clés de chiffrement plus longues, comme le permet NQ Vault, n’aide pas. Choisissez « 000 » pour un mot de passe, et les 128 premiers octets sont sécurisés avec une valeur de clé de « 30 ». Choisissez un mot de passe de 4815162342, et la valeur de code renvoyée est « cc ». Cela indique qu’il n’y a que 255 valeurs XOR potentielles que NQ Vault utilise pour « chiffrer » ses données.

Le résultat de tout cela est que briser la sécurité de NQ Vault est trivial. Vraiment, vraiment banal. Un groupe de personnes pourrait le faire avec un peu de temps, alors qu’un ordinateur moderne peut le casser en moins de temps qu’il n’en faut pour écrire le code de craquage (NinjaDoge24 a judicieusement contribué ses efforts à cet égard).

Des échecs à tous les niveaux

Il y a beaucoup de reproches à faire ici. NQ Vault déforme de manière flagrante son produit. Cette application n’est pas sécurisée pour une définition sensée du mot. Les méthodes de cryptage que vous pouvez casser avec un stylo et du papier ne sont pas du « cryptage » – un mot que NQ Vault utilise à la fois dans les versions iOS et Android de son application. Le fait que l’entreprise ait le culot de facturer une application premium (même si ce n’est que 7,99 $ par an) ne fait qu’aggraver la situation.

NQVault-1

NQ Vault a une longue et riche histoire en tant qu’entreprise frauduleuse et opérateur frauduleux. Ces deux faits auraient dû nécessiter des examens supplémentaires de tout logiciel soumis au Google Play Store. La société a frauduleusement déformé les capacités et la sécurité de ses produits, et bien que Google soit notoirement mauvais en matière de contrôle d’accès par rapport à Apple, quelques degré de diligence raisonnable doit être appliqué aux produits qui se présentent comme des logiciels de sécurité. Apple, qui restreint fortement l’accès à l’App Store, a encore moins d’excuse. Les éditeurs de logiciels qui présentent leurs produits comme les logiciels de sécurité doivent être tenus à des normes plus élevées que le prochain Flappy Bird.

Psssssst :  Blackphone : un smartphone sécurisé et crypté pour l'ère post-Snowden - High-teK.ca

Certains diront que le fait que NQ Vault fournisse quelques niveau de sécurité devrait le mettre à l’abri des critiques. Nous rejetons ce raisonnement. NQ Vault se présente à plusieurs reprises comme offrant un cryptage et un stockage de données sécurisés. Il ne révèle pas que le niveau de sécurité qu’il fournit pourrait être brisé en quelques secondes par quiconque ayant la compréhension la plus élémentaire de la cryptographie, ou qu’il échoue même avec les meilleures pratiques minimales. Ce n’est pas non plus la première fois l’entreprise a été en difficulté.

Les logiciels de sécurité pour téléphones mobiles continuent d’être une proposition très douteuse. L’année dernière, l’application antivirus populaire Virus Shield s’est avérée complètement fausse, n’effectuant absolument aucune analyse antivirus ni aucune protection. NQ Vault n’est peut-être pas si mauvais, mais il est suffisamment mauvais pour valoir la peine d’être retiré du Google Play Store et de jeter le produit.

Bouton retour en haut de la page