Une faille sur Messenger aurait permis d'écouter la conversation d'une personne sans qu'elle ne décroche
Dans le cadre du programme de bug bounty de Facebook, la chercheuse Natalie Silvanovich rapporte que l'application Messenger pour Android possédait une faille qui permettait à n'importe qui d'appeler et d'écouter une personne sans qu'elle ne décroche. Une vulnérabilité similaire avait précédemment été détectée dans l'application FaceTime d'Apple.
Une faille sur l'application Messenger pour Android a été découverte par Natalie Silvanovich, membre de l'équipe Project Zero de Google chargée de traquer les vulnérabilités, rapporte Wired. Cette découverte, qui a rapporté 60 000 dollars à la chercheuse, s'inscrit dans le programme de bug bounty de Facebook lancé il y a une dizaine d'années. Depuis, la faille a été corrigée et Facebook promet qu'elle n'a jamais été exploitée.
Ecouter aux portes
Cette vulnérabilité aurait pu être utilisée par des hackers pour espionner les utilisateurs de Facebook via leur téléphone Android. Concrètement, elle aurait pu permettre à une personne d'appeler un utilisateur et de l'écouter sans qu'il ne décroche cet appel, quelle quoi soit la durée de la sonnerie.
L'exploitation de la faille n'aurait pris que quelques secondes mais nécessitait tout de même de remplir un certain de nombre de conditions bien précises. Tout d'abord, l'attaquant et la cible devaient être tous les deux connectés à Facebook et la victime devait également être connectée à Messenger via un navigateur web. De plus, l'appelant et l'appelé devaient être amis sur Facebook. Néanmoins Facebook comptant plus de 2,7 milliards d'utilisateurs actifs, il était tout à fait possible de trouver des cibles qui répondaient à presque tous ces conditions, explique Natalie Silvanovich.
Un bug similaire sur FaceTime
La chercheuse, qui a fait don des 60 000 dollars à l'association américaine GiveWell, raconte qu'elle a eu l'idée de se pencher sur Messenger à la suite d'une vulnérabilité trouvée sur FaceTime, l'application d'appel vidéo propriétaire d'Apple. En janvier 2019, plusieurs personnes ont rapporté un bug permettant d'écouter ce que disait un interlocuteur sur cette application sans que ce dernier n'ait à décrocher.
Il suffisait pour cela d'appeler la personne que l'on souhaitait écouter, puis de rajouter un correspondant pour créer un appel de groupe, et de rentrer son propre numéro. Cette manipulation ouvrait la communication audio entre les deux appareils. Pour déclencher la vidéo, le correspondant n'avait qu'à utiliser les boutons volumes ou le bouton d'alimentation pour couper la sonnerie.
SUR LE MÊME SUJET
Une faille sur Messenger aurait permis d'écouter la conversation d'une personne sans qu'elle ne décroche
Tous les champs sont obligatoires
0Commentaire
Réagir