Posté le octobre 8, 2019 à 21:11
UNE FAILLE QUI PERMET L’ACCÈS À DISTANCE AU MICROPHONE DÉCOUVERT SUR L’APPLICATION SIGNAL
Les applications axées sur la protection de la vie privée sont de plus en plus populaires à mesure que les préoccupations des utilisateurs concernant leurs données personnelles deviennent un problème de plus en plus important. De nombreuses applications de messagerie et de médias sociaux ont été créées avec un accent particulier sur l’offre de communications sécurisées à leurs utilisateurs.
Telegram et Signal sont quelques-unes des applications de cette catégorie. Une recherche Google pour les applications de messagerie sécurisée vous mènera probablement à l’une de ces applications, et leur popularité a augmenté au cours des dernières années.
Cependant, une révélation récente a montré que Signal pourrait ne pas être aussi sécurisé que beaucoup voudraient le croire. De nombreux utilisateurs et entreprises s’inquiètent de la cybersécurité et apprennent qu’une application telle que Signal présente une faille de taille telle que celle que les chercheurs ont découverte, ce qui soulèvera des inquiétudes à tous les niveaux.
Des chercheurs découvrent des failles dans la fonction d’appel de Signal
Des chercheurs du monde entier s’efforcent sans cesse de découvrir les failles éventuelles des systèmes et applications utilisés quotidiennement par les utilisateurs. Ces failles sont exposées dans le but d’améliorer la sécurité sur ces plateformes et de donner aux utilisateurs une image complète du type de risque associé à l’utilisation de ces applications.
Les entreprises qui ont créé l’application peuvent également utiliser les informations recueillies par les chercheurs pour améliorer leur produit et fournir à leurs utilisateurs le meilleur service possible.
Project Zero de Google est l’un de ces groupes de chercheurs qui ont été mis en place pour examiner diverses applications et découvrir les éventuelles failles de celles-ci. Le 29 septembre 2019, l’équipe a fait une découverte surprenante à propos de l’application de messagerie Signal.
Selon la découverte faite par l’équipe de Project Zero, les appels vers une application Signal peuvent être traités à distance sans que le propriétaire de l’application ne sache qu’il a reçu un appel. Cela permettra à la personne, d’autre part, d’écouter toute conversation que l’autre personne a.
Cette faille dans l’application de Signal est rendue possible par un processus appelé «handleCallConnected» sur le client Android de l’application. C’est le client qui est chargé d’informer un utilisateur qu’il a accepté l’appel en envoyant un message d’appel connecté.
Un attaquant peut utiliser une version modifiée du client pour passer un appel à votre application et envoyer le message connecté au téléphone avant que la cible de l’attaque n’ait été avertie d’un appel entrant. Lorsque l’appel est acheminé, l’appelant appuie sur le bouton silencieux du microphone et il répond à l’appel à l’insu de l’autre personne.
Le client avec la même fonction iOS avait un problème similaire, mais il a été résolu par une erreur d’interface utilisateur avant que la connexion puisse être établie. Cette découverte constitue une préoccupation majeure pour les utilisateurs Android de l’application et les risques d’atteinte à la vie privée liés à l’utilisation de l’application feront l’objet d’importantes inquiétudes.
Une fois l’appel connecté, l’appareil attaqué affichera l’écran d’appel Signal comme d’habitude et si l’utilisateur regarde son appareil au moment de l’attaque, il pourra remarquer qu’un appel est en cours.
Cela signifie que cette faille n’est pas un déclencheur de mode silencieux du microphone du téléphone et qu’il peut être arrêté dès que l’on remarque qu’un appel est connecté sur son application Signal. Si l’appareil se trouve dans un sac ou dans un endroit loin de l’utilisateur, ce dernier ne sera pas en mesure savoir que quelqu’un d’autre utilise leur téléphone pour les espionner.
La réponse à distance aux appels ne peut être effectuée que sur des appels audio et ne fonctionne pas pour les appels vidéo. C’est une consolation qui permet aux utilisateurs de savoir que l’attaquant ne peut pas utiliser l’application comme un flux d’informations vidéo.
Implémentation de solutions au problème
Une fois la faille découverte par l’équipe de Project Zero, Signal a rapidement réagi aux préoccupations de ses clients. L’équipe de l’application de messagerie a assumé la responsabilité de la faille de leur application et a assuré aux clients qu’elle s’efforcerait de la résoudre rapidement. La société a corrigé la faille sur son application Android avec une mise à jour de la version 4.47.7 qui a été immédiatement disponible pour les utilisateurs. Cette réponse a été saluée par de nombreux utilisateurs qui ont déclaré que la plupart des entreprises auraient nié l’existence d’une telle faille dans leurs applications.