De fausses applications de cryptomonnaie apparaissent sur Google Play alors que la valeur du Bitcoin augmente

Par Lucas Stefanko

Les chercheurs d’ESET ont analysé de faux portefeuilles de cryptomonnaie émergeant sur Google Play, surfant sur la hausse de la valeur du bitcoin.

Mai 2019 a vu la valeur du bitcoin croître, alors que son prix atteint son plus haut niveau depuis septembre 2018. Comme on pouvait s’y attendre, les cybercriminels n’ont pas tardé à s’en rendre compte et ont commencé à redoubler d’efforts pour cibler les utilisateurs de cryptomonnaie avec diverses escroqueries et applications malveillantes.

Une de ces applications a été récemment repéré sur Google Play par les utilisateurs de Reddit, se faisant passer pour le portefeuille matériel cryptomonnaie Trezor et utilisant le nom « Trezor Mobile Wallet ». Nous n’avions jamais vu de logiciels malveillants utiliser la marque de Trezor à mauvais escient et nous étions curieux de connaître les capacités d’une telle fausse application. Après tout, Trezor propose des portefeuilles matériels qui nécessitent une manipulation physique et une authentification par code NIP, ou la connaissance de ce qu’on appelle recovery seed (qu’on pourrait traduire par « graine de récupération »), pour accéder aux cryptomonnaies stockées. Des contraintes similaires s’appliquent à son application officielle, « TREZOR Manager ».

En analysant la fausse application, voici quelques-unes de nos découvertes :

1.      il ne peut pas faire de mal aux utilisateurs de Trezor, étant donné les multiples couches de sécurité de Trezor;

2.      il est connecté à une fausse application de portefeuille de cryptomonnaie nommée « Coin Wallet – Bitcoin, Ripple, Ethereum, Tether », pouvant escroquer des utilisateurs peu méfiants; et

3.      ces deux applications ont été créées à partir d’un modèle d’application vendu en ligne.

Nous avons signalé la fausse application Trezor aux équipes de sécurité de Google et avons contacté Trezor à propos de la publication de ce blog. Trezor a confirmé que la fausse application ne constituait pas une menace directe pour leurs utilisateurs. Toutefois, ils craignaient que les adresses électroniques recueillies par le biais de fausses applications comme celle-ci ne soient utilisées à mauvais escient pour des campagnes d’hameçonnage ciblant les utilisateurs de Trezor.

Au moment d’écrire ces lignes, la fausse application Trezor comme l’application Coin Wallet n’étaient pas disponibles sur Google Play.

La fausse application Trezor

L’application se faisant passer pour un portefeuille mobile pour Trezor a été téléchargée sur Google Play le 1er mai 2019, utilisant comme nom du développeur « Trezor Inc », comme l’indique la figure 1. Dans l’ensemble, la page de l’application sur Google Play semblait digne de confiance – le nom de l’application, le nom du développeur, la catégorie de l’application, la description de l’application et les images semblent tous légitimes à première vue. Lors de notre analyse, la fausse application est même apparue comme le deuxième résultat lors de la recherche de « Trezor » sur Google Play, juste après l’application officielle de Trezor.

Article complet sur :

https://www.welivesecurity.com/fr/2019/05/24/fausses-applications-cryptomonnaie/

What the ban on facial recognition tech will – and will not – do

As San Francisco moves to regulate the use of facial recognition systems, we reflect on some of the many ‘faces’ of the fast-growing technology

By Tony Anscombe  

Last week, San Francisco became the first city in the United States to ban the use of facial recognition technology, at least by law enforcement, local agencies, and the city’s transport authority. My immediate reaction to the headlines was that this was great for individuals’ privacy, a truly bold decision by the San Francisco board of supervisors.

The ordinance actually covers more than just facial recognition, as it states the following: “’Surveillance Technology’ means any software, electronic device, system utilizing an electronic device, or similar device used, designed, or primarily intended to collect, retain, process, or share audio, electronic, visual, location, thermal, biometric, olfactory or similar information specifically associated with, or capable of being associated with, any individual or group.”.

The ban excludes San Francisco’s airport and sea port as these are operated by federal agencies. Nor does it mean that no individual, company or other organizations installing surveillance systems that include facial recognition, and the agencies banned from using the technology, can cooperate with the people allowed to use it. For example, a video captured on a home security system can be used by law enforcement to assist in a criminal case.

One of the objections to facial recognition is that the technology has proved inaccurate, specifically when recognizing people of color and women. There could be many reasons for this, but one possible reason could be that the datasets used to train the software are not representative of those specific groups. As with all emerging technologies, they improve over time and as more data is captured and new technology is developed then these issues will be addressed and the accuracy will prevail.

Taking action to protect the privacy of individuals is clearly a step in the right direction. This particular ordinance caught my attention because, being British, I have witnessed the oversurveillance culture where you can’t walk on any street or drive on any road without being captured on numerous surveillance systems.

But, when reflecting on this ban and now being a resident of the San Francisco Bay Area, I find myself considering whether law enforcement should have all the tools necessary to proactively protect the public. If there are people on watch lists and such like, then maybe I want law enforcement to know where they are.

There are many uses for facial recognition. Many smart phones use the technology as authentication to unlock, social media use it to tag photos, and a California-based company called Cubic Corporation that develops the ticketing system for London’s Underground is now exploring whether facial recognition could be used to validate your journey.

One outstanding example of law enforcement using facial recognition was demonstrated in India when New Delhi’s police force identified 3,000 missing children within just four days of a trial launch. The technology was used on 45,000 children throughout the city and it identified 2,930 of them as having been recorded as missing.

Less congestion on transport, reuniting missing children with parents and equipping law enforcement with the best technology to keep the public safe are all positive uses of the technology. It would seem apparent that the issue is not the use of surveillance technology, but the potential for it to be misused.

For those of you wanting to take proactive steps to protect your identity from facial recognition systems, a pair of invisibility glasses could be the answer.

https://www.welivesecurity.com/2019/05/20/san-francisco-ban-facial-recognition/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29