L’application Instagram présentait une vulnérabilité permettant à une personne malintentionnée de prendre le contrôle du smartphone de la victime avec un accès à l’appareil photo et au microphone. Et pour en arriver là, il suffisait d’envoyer une simple photo vérolée !
facebook ne s’est pas vanté de cette faille et on peut imaginer ce qu’il en a fait ?
Est ce que ca veut dire qu’actuellement Instagram a les droits administrateur par défaut ?
Non, l’application a les droits que tu lui accordes au moment de l’installation, l’accès à l’appareil photo et au microphone en faisant partie.
alors le pirate aura accès à la photo de ma poche ?!
Notons qu’on peut bien évidemment revisiter ces droits (par exemple tu peux activer la caméra juste quand tu veux prendre une photo et poster sur Instagram et ensuite re-désactiver), ce n’est pas uniquement à l’installation.
Souvent c’est du code placé dans l’entête d’une image.
Le code ne devrait pas être exécuté ou l’url suivi mais …
Ok c’est « juste » le droit d’utiliser la caméra et le micro, rien à voir avec l’OS Android du coup. Merci
« le hacker pouvait prendre le contrôle du compte utilisateur »
Euh, si c’est du user spoofing rien n’interdit de pouvoir accéder à plus de choses (que la caméra et le micro)…
Le hacker pourra faire tout ce que l’application permet :
- Publier
- Dé-publier
- Follow quelqu’un
- …
Par contre il ne pourra pas activer la camera si elle ne l’était pas, mais dés que le vrai user le fera…
C’est chaud pour les personnalités publiques mais pour l’utilisateur lambda?
C’est quoi l’intérêt pour un hacker (en dehors de faire chier tout le monde)?
Du chantage ?