Les applications de messagerie sont extrêmement importantes de nos jours car les personnes ne peuvent toujours pas se rencontrer personnellement pour parler, que ce soit de choses personnelles ou de choses liées au travail ou à l’école, mais selon un expert en sécurité, certaines des applications que nous utilisons ne sont pas aussi sûres que nous le pensons.
Natalie Silvanovich, analyste du Projet Google Zéro, a révélé un certain nombre de graves vulnérabilités dans les messageries Signal, Google Duo, Facebook Messenger.
En raison de ces vulnérabilités, les hackers pouvaient recevoir le son d’un microphone et l’image d’une caméra de dispositif, et surveiller ce qui se passe autour des utilisateurs (à l’insu de ces derniers).
Cependant, avant d’être corrigés, ils permettaient de forcer les appareils ciblés à transmettre l’audio aux appareils des attaquants sans avoir besoin d’obtenir l’exécution du code.
« J’ai enquêté sur les machines d’état de signalisation de sept applications de vidéoconférence et j’ai trouvé cinq vulnérabilités qui pourraient permettre à un dispositif appelant de forcer un dispositif appelé à transmettre des données audio ou vidéo », a expliqué M. Silvanovich.
La vulnérabilité dans Signal, a été corrigée en septembre 2019, a permis de passer un appel audio en envoyant un message de connexion de l’appareil appelant à l’appareil appelé, et non l’inverse. De plus, cela se faisait sans interaction de l’utilisateur.
Un bug dans Google Duo provoquait une condition de concurrence, qui permettait de fusionner des paquets vidéo du côté appelé, en utilisant pour cela les appels manqués. La vulnérabilité a été corrigée en décembre 2020.
Le même problème dans Facebook Messenger pour Android en détail en novembre 2020. Le chercheur a reçu 60 000 dollars pour avoir trouvé ce bug. Le problème permettait à un attaquant d’effectuer des appels audio et de se connecter à des appels déjà actifs à l’insu des appelants eux-mêmes.
Deux vulnérabilités semblables ont été trouvées dans le code des messagers JioChat et Mocha. Elles permettent également d’écouter les abonnés et de les espionner. Ces vulnérabilités ont été fermées en juillet-août 2020.
Mme Silvanovich écrit qu’elle recherchait des erreurs identiques dans d’autres applications, notamment Telegram et Viber, mais qu’il n’y a pas eu de problèmes de ce type.
Natalie Silvanovich a confirmé qu’il n’est pas clair pourquoi il s’agit d’un problème si fréquent, mais qu’un manque de sensibilisation à ces types de bugs ainsi qu’une complexité inutile dans les machines d’état de signalisation est probablement un facteur.
Pour toutes informations complémentaires, appelez le 04 81 13 33 27 ou contactez-nous via notre formulaire de contact en ligne.