top of page

Signal : correction d’un bug de sécurité identique à celui qui touchait FaceTime

Signal : correction d'un bug de sécurité identique à celui qui touchait FaceTime

Signal a corrigé un bug qui aurait pu permettre aux attaquants d’écouter les victimes en en répondant immédiatement automatiquement à un appel, et ce sans l’autorisation de la personne appelée. Ce bug rappelle le bug FaceTime d’Apple découvert en janvier, qui permettait également aux attaquants d’écouter les utilisateurs d’iPhone en utilisant le même principe.

Cette fois, le bug ne fonctionne que via les appels audio Signal, et non vidéo, car l’application Signal demande aux utilisateurs d’activer manuellement l’accès caméra dans tous les appels. Seule l’application Signal sur Android est impactée.

“Le client iOS a un problème logique similaire, mais l’appel ne peut être réalisé en raison d’une erreur dans l’interface utilisateur causée par la séquence inattendue des états” a déclaré Natalie Silvanovich, la chercheuse qui a découvert le problème. Mais sur Android, Silvanovich a dit qu’un attaquant pouvait utiliser une version modifiée de l’application Signal pour lancer un appel, puis appuyer sur leur propre bouton Mute pour approuver l’appel en cours du côté de la personne appelée.

Signal est une application réputée pour sa sécurité

Le bug se produit à l’étape de la “sonnerie” d’un appel. Les attaquants peuvent appuyer très rapidement sur le bouton Mute et éviter une longue sonnerie qui pourrait alerter les victimes. “Même si l’appel est décroché rapidement, les utilisateurs verraient une indication visible qu’un appel était en cours” a déclaré un porte-parole de Signal à ZDNet. “Il y aurait aussi toujours un enregistrement de l’appel terminé en haut de votre liste de conversation.”

L’application Signal prend en charge les communications chiffrées de bout en bout et est l’une des préférées des journalistes, des politiques, des dissidents, des hommes d’affaires, des chercheurs en sécurité et de nombreuses autres personnalités de premier plan. Le fait de pouvoir espionner n’importe lequel de ces personnages pourrait être un avantage pour de nombreux pirates. Un porte-parole de Signal a dit que le bug a été corrigé dans la version 4.47.7, publiée la semaine dernière, le même jour où Silvanovich l’a signalé.

0 vue0 commentaire

Comments


bottom of page