L’application de messagerie sécurisée, dont les communications sont chiffrées de bout en bout, n’est de temps à autre pas épargnée par les failles de sécurité.
La nouvelle a été trouvée par des ingénieurs de Google dans le cadre de son Project Zero. Ses détails ont été communiqués silencieusement fin septembre à Signal, qui a très vite colmaté la vulnérabilité. La version corrigée, estampillée 4.47.7, est disponible sur le Play Store depuis plus d’une semaine.
Quand à la brèche proprement dite, elle résidait dans la gestion des appels audio. Exploitée, elle pouvait permettre à un tiers de répondre aux appels entrants à la place de l’utilisateur, sans nécessiter d’interaction de sa part.
« En utilisant un client modifié, il est possible d’envoyer le message « connect » à un appareil pendant qu’un appel entrant est en cours, mais n’a pas encore été accepté par l’utilisateur. Ce qui entraine une réponse à l’appel, même si l’utilisateur n’a pas interagi avec l’appareil » explique ainsi Natalie Silvanovich, membre du Project Zero.
Détail « amusant », la faille existe aussi sur la version iOS, mais ne peut pas être exploitée à cause d’un bug d’interface. En outre, elle est également présente dans les appels vidéo. Mais puisque ceux-ci doivent être déclenchés manuellement depuis un appel audio, ils n’étaient pas considérés comme source de danger.
Commentaires (7)
#1
“Quand à la brèche” > “Quant à la brèche”
#2
Cantal à brèche*
" />
#3
« Que dis-je, c’est [une brèche] ? … c’est une [faille] ! »
Cyrano de Bergerac - La tirade des nez (acte 1, scène 4)
#4
“Signalez une erreur” est votre ami
" />
#5
quand le surlignage marche et comme c’était pas le cas et que j’avais la grosse flemme d’envoyer un mail ben voila
#6
Le copier-coler est ton ami.
#7