Messenger pour Android avait un bug d'espionnage

Le par Jérôme G.  |  2 commentaire(s)
messenger-relooking

Découverte par une chercheuse en sécurité de Project Zero de Google, une faille affectant Messenger pour Android aurait pu permettre à un attaquant de lancer un appel et de commencer à écouter dès la sonnerie.

À l'occasion du dixième anniversaire de son programme de Bug Bounty, Facebook a mis en avant deux bugs de sécurité ayant fait l'objet d'un rapport. Un de ces deux bugs concernait l'application de messagerie Messenger pour Android.

Rapporté par Natalie Silvanovich de Project Zero de Google, le bug aurait pu permettre à un attaquant de lancer un appel et d'envoyer simultanément un message invisible à une personne connectée sur Messenger pour Android et un client web Messenger.

Ce message spécialement conçu aurait permis de déclencher l'attaque. Pendant que l'appareil sonnait, Facebook explique que l'appelant pouvait être en mesure de commencer à recevoir l'audio, soit jusqu'à ce que la personne appelée réponde, soit le temps de l'appel.

messenger-relooking

Un air du bug FaceTime de 2019, mais plus difficilement exploitable

Exploitable au final sans une interaction de la victime, un tel bug d'espionnage n'est pas sans rappeler celui qui avait touché FaceTime d'Apple l'année dernière. Ce n'est pas un hasard. C'est à la suite du bug de FaceTime que Natalie Silvanovich a décidé de partir en quête de vulnérabilités similaires dans des applications de visio (Wired).

Toutefois, Facebook souligne une attaque sophistiquée et avec un attaquant ayant déjà des autorisations pour appeler une victime. " Il devrait également utiliser des outils de reverse engineering pour manipuler sa propre application Messenger afin de la forcer à envoyer un message personnalisé. " Loin de la découverte fortuite du bug FaceTime par un adolescent.

La faille a été corrigée côté serveur et n'aurait jamais eu le temps d'être exploitée, puis des protections supplémentaires ont été ajoutées à l'application. Le rapport du bug a été récompensé à hauteur de 60 000 $. Natalie Silvanovich a fait un don à l'organisation caritative GiveWell.

Elle souligne que le bug - rapporté début octobre - était en lien avec WebRTC que l'application Messenger utilise pour les appels audio et vidéo. En particulier, au niveau du protocole SDP (Session Description Protocol).


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
lebonga Hors ligne VIP avatar 30933 points
Le #2113851
feature...
mapool Hors ligne VIP avatar 10467 points
Le #2113877
..//Messenger pour Android avait un bug //..


d'autres appelle ça une backdoor
icone Suivre les commentaires
Poster un commentaire
avatar
Anonyme
Anonyme avatar