La fonctionnalité de vibration HTML5 est-elle une vulnérabilité de sécurité?
Lorsque je surfe sur un site Web d'actualités sur mon mobile, je reçois un avertissement d'infection par un virus qui déclenche une vibration incessante de mon téléphone. L'alerte ressemble à ceci:
Je ne m'attendais pas à ce que mon téléphone vibre et l'alerte est en mesure de me dire le modèle de mon téléphone (premier panneau) et le système d'exploitation (deuxième panneau). Cliquer sur le bouton de retour fait apparaître un autre avertissement (troisième panneau).
Je voulais presque suivre les instructions du deuxième panneau pour installer ce qui ressemble à un anti-virus. Mais heureusement, j'ai pu calmer mes nerfs suffisamment pour me rendre compte qu'il s'agit d'une frayeur diffusée via un ad-server et que l'antivirus pourrait être le vrai virus.
Étant donné que la fonction de vibration HTML5 est une nouvelle fonctionnalité que les gens ne rencontrent guère sur les sites Web. Il ne serait pas surprenant qu'il y ait des gens en proie à cette tactique.
La fonctionnalité de vibration HTML5 est-elle une vulnérabilité de sécurité? Les navigateurs mobiles devraient-ils activer une telle fonctionnalité sur les sites Web par défaut?
Une fenêtre contextuelle a été utilisée pour afficher l'alerte. Est-ce à dire que la fonction popup introduit des vulnérabilités? Ensuite, par ce raisonnement, JavaScript est la source de tous les problèmes. Il y a des gens qui pensent que JS est un vecteur important d'attaques et le bloquent sur des sites Web non fiables avec des extensions comme NoScript.
De nombreuses fonctionnalités peuvent être utilisées à mauvais escient et il appartient aux personnes qui créent les normes, les navigateurs et même les sites Web de juger de ce qui est mauvais et de modifier les normes ou de mettre en œuvre des atténuations. Bien sûr, ces personnes peuvent se tromper et certaines fonctionnalités peuvent être utilisées de manière inattendue pour attaquer les utilisateurs.
Un bon exemple est la console du navigateur qui est très souvent utilisée pour inciter les utilisateurs à coller du code JS qui attaque l'utilisateur. Cela a aidé les vers Facebook à se propager avec beaucoup de succès. Facebook l'a remarqué et a introduit ce message dans la console: 
Cette fonction de vibration peut amener certains utilisateurs à penser que c'est en fait le système d'exploitation qui affiche l'alerte, mais je pense que les derniers navigateurs mobiles font du bon travail en montrant à l'utilisateur qu'il est toujours à l'intérieur du navigateur. Dans ce cas, le message du navigateur est suffisamment clair "La page sur andro-apps.com dit:"
Si cela devient un vecteur d'attaque important, je suis sûr que les fabricants de navigateurs le remarqueront et apporteront des modifications pour réduire l'impact.
Supposons qu'une page Web malveillante affiche une fausse notification système et vibre en même temps. Dans quelle mesure seriez-vous confiant de faire la différence entre une fenêtre contextuelle légitime et un .png sur la page Web que vous consultez.
( Source )
Personnellement, je n'ai entendu parler d'aucun exploit lié à l'API HTML5 Vibrate, mais il pourrait être utilisé pour des objectifs malveillants comme indiqué sur le lien ci-dessus. Mais plus grave est ce que le texte cité ci-dessus mentionne: vous ne pouvez pas faire la distinction entre une fenêtre contextuelle légitime et autre chose . Cette autre chose pourrait être une fenêtre contextuelle utilisée pour déclencher une attaque de téléchargement en voiture conduisant à des logiciels malveillants (généralement des logiciels espions ou adware) sur votre système en exploitant les vulnérabilités du navigateur que vous utilisez (ou celles de ses plugins).
Mais heureusement, j'ai pu calmer mes nerfs suffisamment pour me rendre compte qu'il s'agit d'une frayeur diffusée via un serveur de publicité et que l'antivirus pourrait être le vrai virus.
Vous avez plutôt été sage dans votre décision, car il pourrait s'agir d'une attaque de téléchargement au volant. Essayez d'utiliser des services gratuits (mais puissants) tels que Stop Badware sur votre ordinateur portable pour voir si le site Web que vous avez consulté est sur liste noire (la notification peut être négative si le site Web est compromis trop récemment et que personne ne l'a signalé). ).
Honnêtement, la question centrale est de savoir si les vibrations du téléphone donneront à une application/un site Web beaucoup plus d'autorité que sans les vibrations. Maintenant, de toute évidence, je manque de recherches sur ce problème spécifique, mais nous pouvons noter que les applications n'utilisent pas les vibrations comme moyen de convoquer l'autorité. Si quoi que ce soit, il se sentirait mal pour une application de vibrer lorsqu'elle est allumée et d'être un indicateur supplémentaire que quelque chose est étrange dans la situation, car les vibrations ont tendance à se déclencher uniquement lorsque l'écran est éteint.
La vibration pourrait-elle créer un sentiment d'urgence pour certaines personnes? Certainement, et donc cela pourrait améliorer de manière marginale l'efficacité du scareware, mais même si tel était le cas, ce ne serait toujours pas une vulnérabilité de sécurité car l'API de vibration ne permettrait pas à quelqu'un de faire tout ce qui n'est pas autorisé à le faire, ce qui est un trait nécessaire d'une vulnérabilité de sécurité. Donc, en conclusion, ce n'est certainement pas une vulnérabilité de sécurité et il serait peu logique de l'enfermer derrière une boîte de dialogue d'autorisation.
Ce n'est pas une vulnérabilité en soi car elle ne peut pas être utilisée pour exploiter directement l'appareil, mais elle peut certainement l'être et (comme votre question l'indique) a été utilisée pour des attaques d'ingénierie sociale.
Dans le cas que vous avez mentionné, il est utilisé pour créer un sentiment d'urgence et inciter l'utilisateur à installer des logiciels indésirables. Il peut également être utilisé en combinaison avec des invites qui simulent des dialogues générés par le système d'exploitation ou d'autres applications sur le téléphone pour inciter l'utilisateur à charger du contenu malveillant.
Firefox pour Android dispose désormais d'une autorisation Demander la vibration à partir de la version 49 ( source de la page ; rapport de bogue pertinent ):
La fonctionnalité de vibration HTML5 est-elle une vulnérabilité de sécurité? Les navigateurs mobiles devraient-ils activer une telle fonctionnalité sur les sites Web par défaut?
Au moins dans le scénario que vous décrivez, non. La fonction de vibration facilite ici une attaque d'ingénierie sociale, mais est utilisée comme prévu et conçu.
Dans un sens plus général, il peut bien y avoir d'autres vulnérabilités de sécurité liées à l'API vibrate (ou, d'ailleurs, à toute autre fonctionnalité HTML)