Shadow

La vulnérabilité Zero Day dans Facebook, Signal et Google Duo permet aux attaquants d’espionner les utilisateurs

Plusieurs applications mobiles de visioconférence ont été capturées avec une vulnérabilité permettant aux attaquants d’écouter l’environnement des utilisateurs avant que l’autre personne ne prenne l’appel.

Natalie Silvanovich est la chercheuse qui a découvert pour la première fois cette vulnérabilité zéro jour dans les applications de messagerie Signal, Google Duo, Facebook Messenger, JioChat et Mocha.

 Silvanovich a expliqué: «J’ai étudié les machines d’état de signalisation de sept applications de visioconférence et trouvé cinq vulnérabilités qui pourraient permettre à un appareil appelant de forcer un appareil appelé à transmettre des données audio ou vidéo.

« Théoriquement, garantir le consentement de l’appelé avant la transmission audio ou vidéo devrait être une question assez simple d’attendre que l’utilisateur accepte l’appel avant d’ajouter des pistes à la connexion homologue.

« Cependant, lorsque je regardais des applications réelles, elles permettaient la transmission de nombreuses manières différentes. La plupart d’entre elles ont conduit à des vulnérabilités qui permettaient aux appels d’être connectés sans interaction de l’appelé. »

Alors que sivanovich révélait sa découverte, Signal est venu avec une correction de bogue en septembre 2020 et a permis aux utilisateurs de connecter l’appel audio en envoyant le message de connexion des appareils de l’appelant à l’appelé au lieu de l’autre.

Facebook a corrigé le bogue en novembre 2020 et Google Duo est le prochain à corriger le bogue en décembre 2020. La faille avec le messager Facebook a permis aux attaquants de se connecter aux appels audio avant de se connecter. Dans Google Duo, la condition permettait aux appelés de divulguer des paquets vidéo d’un appel sans réponse à l’appelant.

Silvanovich a recherché des bogues similaires sur d’autres applications de visioconférence comme Telegram et VIber, mais n’a pas trouvé de tels problèmes.

« La majorité des machines d’état appelantes sur lesquelles j’ai enquêté présentaient des vulnérabilités logiques qui permettaient de transmettre du contenu audio ou vidéo de l’appelé à l’appelant sans le consentement de l’appelé »,

« Il est également préoccupant de noter que je n’ai examiné aucune fonctionnalité d’appel de groupe de ces applications, et que toutes les vulnérabilités signalées ont été trouvées dans des appels peer-to-peer. C’est un domaine de travail futur qui pourrait révéler des problèmes supplémentaires », dit Silvanovich.