L'application Instagram présentait une vulnérabilité permettant à une personne malintentionnée de prendre le contrôle du smartphone de la victime avec un accès à l'appareil photo et au microphone. Et pour en arriver là, il suffisait d'envoyer une simple photo vérolée !
La faille en question a été découverte par les experts du cabinet Check Point Security au mois d'avril. Mis au courant, les ingénieurs de Facebook l'ont corrigée. Toutefois, on ne sait pas si cette dernière a été largement utilisée.
Twitter teste les messages privés vocaux
Une attaque simple et efficace
La vulnérabilité en question pouvait être exploitée par une simple image renfermant un morceau de code spécifique et envoyée par email ou via une messagerie. Si la victime enregistrait la photo sur son téléphone et ouvrait l'application Instagram, le hacker pouvait prendre le contrôle du compte utilisateur. Par la même occasion, il avait également accès aux fonctionnalités de l'application, c'est-à-dire à l'appareil photo ou au microphone.
Check Point rappelle qu'il est important de passer en revue les permissions de chaque application. Yaniv Balmas, Directeur du département de la recherche du cabinet affirme : « En pratique, c'est l'une des meilleures lignes de défense dont tout le monde dispose pour faire face aux cyber-attaques sur mobile ».
Android 11 : meilleure gestion des permissions
Dans un bulletin de sécurité, Facebook précise que cette vulnérabilité affectait les smartphones Android. Il est d'ailleurs intéressant de noter que la prochaine version de l'OS mobile de Google apporte un certain nombre de nouvelles mesures de sécurité.
Pour une application en particulier, les utilisateurs auront la possibilité de n'autoriser l'accès qu'une seule fois à la puce GPS, au microphone et à l'appareil photo. Cela signifie qu'il faudra à nouveau accorder ces permissions au prochain lancement de cette application.
Notons par ailleurs qu'après avoir bloqué une permission à deux reprises au lancement d'une application, il sera nécessaire de se rendre dans les paramètres de cette dernière pour l'activer.
Rappelons qu'avec Android 11, les applications ne sont plus en mesure de collecter des informations en tâche de fond. Cette dernière devra être active. Dès le mois de novembre, Google retirera du Play Store celles qui ne se sont pas pliées à cette règle.
Source : Busines Insider, Facebook
Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles des navigateurs web, aux nouveaux smartphones mais aussi aux systèmes d'exploitation, aux questions de sécurité ou à l'actualité e-business en général. Sinon je dois avouer que j'ai un faible pour tout ce qui touche au web design et c'est généralement le code source d'une page web que je lis en premier.
Lire d'autres articles
