Une faille dans l'application de messagerie Go SMS Pro expose tous les messages et fichiers envoyés
Utilisée par plus de 100 millions de personnes, Go SMS Pro expose les messages textes, photos et vidéos envoyés par cette application de messagerie. L'entreprise Trustwave, à l'origine de cette découverte, recommande fortement d'arrêter d'utiliser cette application car aucun correctif n'a encore été publié.
Go SMS Pro, l'une des applications de messagerie les plus populaires sur Android, expose toutes les informations échangées entre ses utilisateurs à cause d'une faille de sécurité. Sont concernés des messages textes, des photos et des vidéos. Aucun patch n'est encore disponible.
Utilisée par plus de 100 millions de personnes
Utilisé par plus de 100 millions de personnes, d'après le Google Play Store, Go SMS Pro permet de remplacer l'application de SMS native d'un téléphone. Elle offre des fonctionnalités de personnalisation, de stockage, de filtrage des messages entrants…
Les chercheurs de l'entreprise de cybersécurité Trustwave ont découvert la faille en août dernier. Ils ont contacté le développeur de l'application en lui fixant un délai de 90 jours pour corriger le problème. Mais une fois le délai écoulé sans nouvelles, les chercheurs ont décidé de rendre l'affaire publique. Trustwave vient de faire part de ses conclusions à Techcrunch.
Une URL est générée à chaque échange
Les chercheurs expliquent qu'en principe, si le destinataire n'a pas installé l'application Go SMS Pro, le fichier multimédia lui est envoyé sous forme d'une URL par SMS. L'utilisateur peut alors cliquer sur le lien et visualiser le fichier multimédia dans son navigateur.
Or, l'accès au lien est possible sans aucune authentification ou autorisation. Ce qui signifie que tout utilisateur disposant du lien est en mesure de visualiser le contenu. De plus, lors du partage d'un fichier, une URL est générée même si le destinataire possède Go SMS Pro, révèlent les chercheurs.
Ainsi, une personne malintentionnée pourrait facilement dérober des données échangées en générant une liste d'URL via un interprétateur de commandes. En prenant les URL générées et en les collant dans l'extension multi-onglets sur Chrome ou Firefox, elle pourrait ainsi accéder aux fichiers privés envoyés par les utilisateurs de cette application.
TechCrunch a vérifié ces conclusions. En consultant quelques dizaines de liens, les journalistes racontent avoir trouvé le numéro de téléphone d'une personne, une capture d'écran d'un virement bancaire, une confirmation de commande comprenant l'adresse du domicile de quelqu'un, des photos dénudées…
Pas possible de cibler un utilisateur spécifique
Karl Sigler, responsable de la recherche sur la sécurité chez Trustwave, a déclaré que s'il n'était pas possible de cibler un utilisateur spécifique, tout fichier envoyé à l'aide de l'application est vulnérable. "Il est fortement recommandé d'éviter d'envoyer des fichiers multimédia que vous pensez rester privés ou qui peuvent contenir des données sensibles en utilisant cette application de messagerie populaire, au moins jusqu'à ce que le vendeur reconnaisse cette vulnérabilité et y remédie", conclut Trustwave.
SUR LE MÊME SUJET
Une faille dans l'application de messagerie Go SMS Pro expose tous les messages et fichiers envoyés
Tous les champs sont obligatoires
0Commentaire
Réagir