Instagram : une faille permettait de prendre le contrôle du smartphone à distance

25 septembre 2020 à 11h10
8
Instagram Hack

L'application Instagram présentait une vulnérabilité permettant à une personne malintentionnée de prendre le contrôle du smartphone de la victime avec un accès à l'appareil photo et au microphone. Et pour en arriver là, il suffisait d'envoyer une simple photo vérolée !

La faille en question a été découverte par les experts du cabinet Check Point Security au mois d'avril. Mis au courant, les ingénieurs de Facebook l'ont corrigée. Toutefois, on ne sait pas si cette dernière a été largement utilisée.

Une attaque simple et efficace

La vulnérabilité en question pouvait être exploitée par une simple image renfermant un morceau de code spécifique et envoyée par email ou via une messagerie. Si la victime enregistrait la photo sur son téléphone et ouvrait l'application Instagram, le hacker pouvait prendre le contrôle du compte utilisateur. Par la même occasion, il avait également accès aux fonctionnalités de l'application, c'est-à-dire à l'appareil photo ou au microphone.

Check Point rappelle qu'il est important de passer en revue les permissions de chaque application. Yaniv Balmas, Directeur du département de la recherche du cabinet affirme : « En pratique, c'est l'une des meilleures lignes de défense dont tout le monde dispose pour faire face aux cyber-attaques sur mobile ».

Android 11 : meilleure gestion des permissions

Dans un bulletin de sécurité, Facebook précise que cette vulnérabilité affectait les smartphones Android . Il est d'ailleurs intéressant de noter que la prochaine version de l'OS mobile de Google apporte un certain nombre de nouvelles mesures de sécurité.

Pour une application en particulier, les utilisateurs auront la possibilité de n'autoriser l'accès qu'une seule fois à la puce GPS, au microphone et à l'appareil photo. Cela signifie qu'il faudra à nouveau accorder ces permissions au prochain lancement de cette application.

Notons par ailleurs qu'après avoir bloqué une permission à deux reprises au lancement d'une application, il sera nécessaire de se rendre dans les paramètres de cette dernière pour l'activer.

Rappelons qu'avec Android 11, les applications ne sont plus en mesure de collecter des informations en tâche de fond. Cette dernière devra être active. Dès le mois de novembre, Google retirera du Play Store celles qui ne se sont pas pliées à cette règle.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
8
bmustang
facebook ne s’est pas vanté de cette faille et on peut imaginer ce qu’il en a fait ?
Blues_Blanche
Est ce que ca veut dire qu’actuellement Instagram a les droits administrateur par défaut ?
Oncle_Picsou
Non, l’application a les droits que tu lui accordes au moment de l’installation, l’accès à l’appareil photo et au microphone en faisant partie.
garce_imore
alors le pirate aura accès à la photo de ma poche ?!
cloomcloom
Notons qu’on peut bien évidemment revisiter ces droits (par exemple tu peux activer la caméra juste quand tu veux prendre une photo et poster sur Instagram et ensuite re-désactiver), ce n’est pas uniquement à l’installation.
Cyril_Ferey
Souvent c’est du code placé dans l’entête d’une image.<br /> Le code ne devrait pas être exécuté ou l’url suivi mais …
Blues_Blanche
Ok c’est «&nbsp;juste&nbsp;» le droit d’utiliser la caméra et le micro, rien à voir avec l’OS Android du coup. Merci
notolik
«&nbsp;le hacker pouvait prendre le contrôle du compte utilisateur&nbsp;»<br /> Euh, si c’est du user spoofing rien n’interdit de pouvoir accéder à plus de choses (que la caméra et le micro)…<br /> Le hacker pourra faire tout ce que l’application permet :<br /> Publier<br /> Dé-publier<br /> Follow quelqu’un<br /> …<br /> Par contre il ne pourra pas activer la camera si elle ne l’était pas, mais dés que le vrai user le fera…<br /> C’est chaud pour les personnalités publiques mais pour l’utilisateur lambda?<br /> C’est quoi l’intérêt pour un hacker (en dehors de faire chier tout le monde)?
Blues_Blanche
Du chantage ?
Voir tous les messages sur le forum

Actualités du moment

Pour les French Days, le casque Bose QuietComfort 35 II est disponible à moins de 190€
French Days : un PC portable Gamer Asus 15
NieR Replicant ver.122474487139 ce sera pour avril 2021 sur PC et consoles
French Days : l'excellent Xiaomi Mi Note 1 Lite 128 Go à moins 350€
French Days : 5 bons plans high-tech immanquables chez Electro Dépôt
Pour les French Days, le casque Bose QuietComfort 35 II est disponible à moins de 190€
Samsung Galaxy S20 FE : précommandez votre smartphone et profitez d'un Galaxy Fit 2 offert !
Les jeux Xbox stockés sur un support externe jouables instantanément sur Xbox Series X | S
French Days : les Apple AirPods Pro à prix choc ce matin !
Amazon commande un spin-off de The Boys se déroulant dans une université pour super-héros
Haut de page