Il y a eu plusieurs histoires de pirates informatiques détournant des caméras de téléphones Android pour écouter leurs utilisateurs ou leur fournir de fausses images. En tant que propriétaire d’un téléphone d’alerte, vous cherchez peut-être à éviter cela en évaluant la probabilité et les risques réels d’un tel événement de menace.
Kali Linux est l’un des meilleurs outils pour vérifier les vulnérabilités potentielles de la caméra de votre téléphone Android via un test de pénétration. Il peut vous aider à rester au courant de toutes les tentatives de pirates informatiques pour accéder à distance à l’appareil photo du téléphone.
Contenu
Installation d’une charge utile d’exploitation
Pour utiliser Kali Linux pour un test d’intrusion, téléchargez-le d’abord depuis son site officiel. Reportez-vous à ce didacticiel précédent pour les définitions de divers jargons tels que « msfvenom », « msfconsole », « meterpreter » et plus encore qui seront utilisés dans cet exercice.
La première étape des tests d’intrusion consiste à installer une charge utile d’exploit standard sur l’appareil. Pour cela, ouvrez le terminal Kali Linux et saisissez la commande suivante : ifconfig. Cela vous donnera l’adresse IP de votre session Kali Linux.
Entrez maintenant la commande ci-dessous en utilisant l’adresse IP ci-dessus. Le numéro de port pour les exploits, chevaux de Troie et autres vulnérabilités est généralement 4444.
Dans cette étape, essayez d’injecter une charge utile metasploit, basée sur un interpréteur Java. En cas de succès, le test d’intrusion vous aidera à vérifier si votre téléphone est vulnérable à quelqu’un qui écoute des appels téléphoniques, accède à des SMS, géolocalise l’utilisateur, etc.
Dans ce cas, la tentative est de montrer comment l’exploit peut être potentiellement utilisé pour accéder aux caméras du téléphone.
Une fois l’exploit initié, un fichier APK appelé « Payload » sera installé dans le dossier racine. Vous devez l’installer sur un téléphone Android cible. Cependant, c’est plus facile à dire qu’à faire. La plupart des nouveaux téléphones et e-mails Android refuseront de transporter de tels fichiers infectés par des logiciels malveillants, et c’est une bonne chose.
Cependant, cela peut toujours être réalisé via un câble USB ou des fichiers temporaires. Si un pirate a accès à votre téléphone pendant quelques minutes, cela le rend quelque peu vulnérable. Notre effort ici dans ce test de pénétration est de déterminer l’étendue précise du risque encouru.
Une fois transféré, vous devez trouver un moyen d’installer le fichier de charge utile sur votre téléphone. À moins qu’il ne s’agisse d’une très ancienne version d’Android, votre téléphone devrait vous donner plusieurs avertissements avant que l’APK puisse être installé. Néanmoins, quelle que soit la version du téléphone Android, il existe de nombreuses autres façons d’installer des applications provenant de sources inconnues sur un téléphone Android.
Lancer l’exploit
Pour lancer l’exploit Payload ci-dessus, insérez la commande suivante : msfconsole. Cela ne prendra que quelques secondes pour que la commande soit exécutée, et le métasploit peut être préparé pour des tests de pénétration supplémentaires sur les caméras du téléphone.
Le metasploit donnera sa propre description complète. Le résumé de la charge utile est également visible. Il montre le nombre d’exploits au travail.
À l’étape suivante, la msfconsole est prête à lancer l’exploit. Pour cela, reportez-vous à l’adresse IP et au numéro de port (4444) évoqués précédemment. En conséquence, entrez les commandes suivantes :
Lorsque le gestionnaire TCP inversé est activé, vous verrez différentes étapes du lancement du Meterpreter. Attendez quelques secondes pendant qu’il diagnostique le téléphone cible.
Il faut mentionner ici que la plupart des téléphones Android modernes continueront de refuser cet accès. N’oubliez pas qu’il s’agit d’un test d’intrusion. Si votre téléphone Android ne peut pas être pénétré à l’aide de ce fichier APK mortel, cela signifie que le fabricant de votre téléphone est au courant de ce vecteur d’attaque particulier.
Accéder à l’appareil photo du téléphone Android
Si vous avez réussi à insérer l’exploit dans le téléphone, il y a une chance qu’il puisse maintenant être pénétré. Lorsque cela se produit, le « meterpreter » sur un terminal Kali Linux pourra établir une connexion avec le téléphone. À ce stade, insérez l’aide pour accéder à plusieurs options dans le téléphone Android attaqué.
Saisissez les commandes suivantes (à partir du menu d’aide) pour accéder aux caméras de votre téléphone. Dans cet exploit, il y a eu une tentative d’accès à la caméra arrière pour prendre des photos depuis le terminal.
Pour réussir un test de pénétration, une fois que vous pouvez accéder à la caméra, prenez une photo et enregistrez-la dans le dossier racine de Kali Linux. Vous pouvez également modifier, renommer ou supprimer les autres images stockées. Par conséquent, toute pénétration réussie sur le téléphone testé est un signal d’alarme sur la probabilité d’une véritable attaque, ce qui signifie qu’il est temps d’opter pour un correctif de sécurité.
Dans ce didacticiel, vous avez appris comment accéder à une caméra Android à partir d’un terminal Linux Kali pour les tests d’intrusion.
Ceci est un article de recherche sur la sécurité. Si vous accédez à l’appareil photo de quelqu’un d’autre pour une démonstration, obtenez toujours son autorisation en premier – à moins, bien sûr, qu’il s’agisse de votre propre téléphone. N’oubliez pas de consulter ces applications de piratage pour Android pour vous aider à tester et à trouver les vulnérabilités de votre téléphone
Cet article est-il utile ? Oui Non