WhatsApp et Telegram se sont forgé une réputation sur le marché ultra concurrentiel des applications de messagerie par le très haut niveau de sécurité qu'ils revendiquent. Les deux services ont ainsi rapidement opté pour le chiffrement de bout en bout permettant ainsi d'éviter l'espionnage par d'éventuels hackers ou par les autorités.
Mais Symantec met aujourd'hui en évidence une faille baptisée Media File Jacking située au niveau du système de partage de fichiers médias. Lorsqu'un fichier est envoyé vers un interlocuteur, il existe un court instant pendant lequel le fichier quitte le smartphone de l'expéditeur puis est stocké sur l'espace disponible du smartphone du destinataire avant d'être chargé par la messagerie.
Pendant ce processus, les fichiers échangés seraient ainsi vulnérables selon Symantec qui le décrit alors comme "lisibles et modifiables". Tous les types de fichiers sont concernés : photos, vidéo, musique, documents... La faille pourrait ainsi être exploitée au moment où les fichiers sont écrits sur le smartphone du destinataire.
La faille ne peut toutefois être exploitée que si les fichiers sont stockés sur une mémoire externe. Symantec recommande aux utilisateurs de WhatsApp et Telegram de désactiver la visibilité des médias (une option déjà désactivée par défaut sur Telegram). Par ailleurs, Android Q devrait corriger le tir automatiquement puisque le prochain OS de Google renforce naturellement sa sécurité en imposant de nouvelles règles d'accès aux fichiers pour chaque application.
