Messenger : une faille permettait de vous écouter avant que vous ne décrochiez ou rejetiez l’appel
Le 23 novembre 2020 à 09h49
1 min
Société numérique
Société
La brèche a été identifiée par Natalie Silvanovich du Project Zero de Google, et signalée le 6 octobre à Facebook, avec l’habituel délai de 90 jours avant de dévoiler publiquement les détails. Elle concernait la version 284.0.0.16.119 de l’application Android.
Le réseau social présente l’attaque comme « sophistiquée », mais avec de graves conséquences : « pendant que l'appareil sonne, l'appelant commencerait à recevoir l'audio jusqu'à ce que la personne appelée réponde ou que l'appel expire ».
Pour exploiter cette faille, il fallait simplement que le pirate puisse appeler l’autre personne (c’est-à-dire qu’ils soient « amis »). Des correctifs ont évidemment été déployés et une prime de 60 000 dollars a été accordée.
Le 23 novembre 2020 à 09h49
Commentaires (2)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 23/11/2020 à 17h04
une affaire à suivre
Le 23/11/2020 à 18h59
Pour exploiter cette faille, il fallait simplement que le pirate puisse appeler l’autre personne (c’est-à-dire qu’ils soient « amis »).
Non, cela ne suffisait pas. Il fallait aussi envoyer un message spécifique au correspondant que l’on voulait écouter. C’est pour cela qu’ils ont dit que l’attaque était sophistiquée : ils expliquent qu’il faut faire du reverse engineering pour faire en sorte que l’appli de l’appelant envoie ce message. Et il faut que la cible soit aussi connectée à son compte Facebook sur un navigateur Web en plus de son Messenger.