Un bug de Facebook Messenger permet d’espionner sur Android

0

Facebook a corrigé une faille importante dans la version Android de Facebook Messenger qui aurait pu permettre aux hackers d’espionner les utilisateurs et potentiellement d’identifier leur environnement et localisation à leur insu.

Natalie Silvanovich, chercheuse en sécurité chez Google Project Zero, a découvert la vulnérabilité, qui, selon elle, existait dans l’implémentation de l’application WebRTC, un protocole utilisé pour passer des appels audio et vidéo en «échangeant une série de messages entre l’appelé et l’appelant». a-t-elle expliqué dans une description publiée en ligne.

Dans un scénario normal, l’audio de la personne effectuant l’appel ne serait pas transmis tant que la personne à l’autre bout du fil n’a pas accepté l’appel. Ceci est traité dans l’application en n’appelant pas setLocalDescription tant que la personne appelée n’a pas cliqué sur le bouton «Accepter», ou en définissant les descriptions de médias audio et vidéo dans le protocole SDP (Session Description Protocol) local sur inactives et en les mettant à jour lorsque l’utilisateur clique sur le bouton, a expliqué Silvanovich.

«Cependant, il existe un type de message qui n’est pas utilisé pour l’établissement des appels, SdpUpdate, qui provoque l’appel immédiat de setLocalDescription», explique-t-elle. « Si ce message est envoyé à l’appareil appelé alors qu’il sonne, il commencera à transmettre le son immédiatement, ce qui pourrait permettre à un attaquant de surveiller l’environnement de l’appelé. »

facebook messenger

Silvanovich a fourni une reproduction étape par étape du problème dans son rapport. Exploiter la vulnérabilité ne prendrait que quelques minutes. Cependant, un attaquant devrait déjà avoir des autorisations – c’est-à-dire être des «amis» Facebook avec l’utilisateur – pour appeler la personne à l’autre bout.

Silvanovich a révélé la faille de sécurité à Facebook le 6 octobre. La société a corrigé la faille le 19 novembre, a-t-elle rapporté. Facebook a mis en place un programme de bug bounty depuis 2011.

facebook messenger

En fait, l’identification par Silvanovich de la faille de Messenger – qui lui a valu une prime de 60 000 dollars(~50 400€) – était l’une des nombreuses failles mises en avant par la société dans un article de blog publié le 19 Novembre pour célébrer le 10e anniversaire du programme.

«Après avoir corrigé la faille signalée côté serveur, nos chercheurs en sécurité ont appliqué des protections supplémentaires contre ce problème dans nos applications qui utilisent le même protocole pour les appels 1:1», a écrit Dan Gurfinkel, responsable de l’ingénierie de la sécurité sur Facebook. Il a ajouté que la prime de Silvanovich était l’une des trois plus élevées jamais décernées, «ce qui reflète son impact potentiel maximal».

Le programme bug bounty de Facebook

Facebook a récemment renforcé son offre de bug bounty avec un nouveau programme de fidélité qui, selon la société, est le premier du genre. Le programme, appelé Hacker Plus, vise à inciter davantage les chercheurs à trouver des vulnérabilités dans sa plate-forme en offrant des bonus en plus des primes, l’accès à plus de produits et de fonctionnalités que les chercheurs peuvent tester, et des invitations à des événements annuels Facebook.

Silvanovich a choisi de faire don de la prime «généreusement accordée» à GiveWell, une organisation à but non lucratif qui fait des dons de bienfaisance, a-t-elle révélé sur Twitter.

Silvanovich fait partie d’un certain nombre de chercheurs de Google Project Zero qui ont récemment été actifs dans l’identification de vulnérabilités graves dans les applications populaires. Au cours du mois dernier, les chercheurs du groupe ont non seulement découvert d’importantes vulnérabilités zero-day dans le navigateur Chrome de Google, mais également dans les appareils mobiles d’Apple et Microsoft Windows.

Laisser un commentaire