L’application GO SMS Pro expose les médias sensibles

Selon les chercheurs, une faille de sécurité découverte dans l’application GO SMS Pro d’Android pourrait être exploitée pour exposer publiquement les médias envoyés à l’aide de l’application.

L’application GO SMS Pro est une application de messagerie populaire avec plus de 100 millions de téléchargements depuis le Google Play Store. Les chercheurs de Trustwave SpiderLabs ont déclaré que les messages vocaux privés, les messages vidéo et les photos risquent tous d’être compromis par une faille de sécurité exploitable de la version 7.91.

Lorsqu’un utilisateur envoie un message multimédia, le destinataire peut le recevoir même s’il n’a pas installé GO SMS Pro. Dans ce cas, le fichier multimédia est envoyé au destinataire sous forme d’URL via SMS, afin que la personne puisse cliquer sur le lien pour afficher le fichier multimédia dans une fenêtre de navigateur.

« SpiderLabs a constaté que l’accès au lien était possible sans aucune authentification ou autorisation, ce qui signifie que tout utilisateur disposant du lien est en mesure de voir le contenu », ont expliqué les chercheurs dans un article.

En soi, cela pourrait être exploitable via un logiciel malveillant d’analyse de SMS ou un dérobeur d’informations sur navigateur. Mais les chercheurs ont également constaté que les URL utilisées pour les médias sont séquentielles et prévisibles.

Ainsi, en prédisant l’URL suivante dans la séquence hexadécimale, un utilisateur malveillant pourrait afficher n’importe quel nombre de médias d’utilisateurs sans consentement.

«[Ils pourraient] potentiellement accéder à tous les fichiers multimédias envoyés via ce service ainsi qu’à tous ceux qui seront envoyés à l’avenir», ont noté les chercheurs. « En incrémentant la valeur de l’URL, il est possible d’afficher ou d’éspionner d’autres messages multimédias partagés entre d’autres utilisateurs. »

FinSpy malware macOS

Un simple script bash pourrait être utilisé pour générer un exemple de liste d’URL en utilisant les changements prévisibles des adresses, ont-ils ajouté. Cette liste peut simplement être collée dans l’extension multi-onglets sur Chrome ou Firefox pour une visualisation facile.

Le seul point positif est qu’un attaquant ne serait pas en mesure de relier le média à un utilisateur spécifique, à moins que le fichier média lui-même ne divulgue l’identité d’une personne.

« Par exemple, une photo de profil peut être recherchée à l’aide de la recherche d’image inversée, une image de permis de conduire ou des documents juridiques contiendront des informations personnellement identifiables (PII) qui peuvent être utilisées pour associer l’image à des personnes spécifiques, etc. », a déclaré Karl Sigler, responsable principal de la recherche en sécurité chez SpiderLabs. « Cependant, une image aléatoire d’un coucher de soleil ne sera probablement pas facilement retracée jusqu’à une personne. »

C’est néanmoins un bug inquiétant, a ajouté Sigler. Il a déclaré que, comme un attaquant ne peut pas cibler directement des utilisateurs spécifiques de GO SMS Pro, « je ne considérerais pas cela comme une gravité critique … mais le large réseau qui peut être jeté autour de données potentiellement sensibles justifie certainement une gravité élevée. »

La version de GO SMS Pro concernée

Cette vulnérabilité a été confirmée dans GO SMS Pro v7.91, comme mentionné – mais le développeur a publié une nouvelle version (v.7.93) la semaine dernière. SpiderLabs n’a pas encore testé cette nouvelle itération de l’application (mais Sigler a déclaré qu’il prévoyait de le faire), et le développeur n’a jamais pris connaissance de la faille malgré de multiples tentatives de contact à partir de la mi-août, ont déclaré les chercheurs.

Un correctif inclurait l’ajout de contrôles d’accès appropriés dans l’instance cloud, la mise en œuvre d’identifiants uniques plus longs dans l’URL qui empêcheront de parcourir séquentiellement les données, ou simplement la suppression complète de l’instance cloud jusqu’à ce que le problème de GO SMS Pro puisse être résolu, selon Sigler.

go sms pro

Les utilisateurs doivent mettre à niveau vers la dernière version de GO SMS Pro au cas où cela résoudrait la faille, mais pour s’assurer que le contenu reste privé, «il est fortement recommandé d’éviter d’envoyer des fichiers multimédias via l’application qui sont sensés rester privée ou qui peuvent contenir des données sensibles en utilisant ce populaire Messenger, au moins jusqu’à ce que le fournisseur reconnaisse cette vulnérabilité et la corrige », a conseillé SpiderLabs.

«Cela ne devrait pas être courant et les développeurs inexpérimentés pourraient facilement laisser passer quelque chose comme ça», a déclaré Sigler. «C’est pourquoi il est important d’ajouter des tests de sécurité à tout cycle de vie de développement d’applications.»

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire