Des vulnérabilités graves ont été détectées chez Signal, Google Duo, Facebook Messenger, JioChat et Mocha, informe Natalie Silvanovich, spécialiste en sécurité, membre de l’équipe Google Project Zero qui chasse les bogues.
Les défauts ont en fait été détectés en 2019, mais viennent seulement d’être dévoilés par ces experts.
«J’ai trouvé des bogues qui permettent de transmettre de l’audio ou de la vidéo sans le consentement de l’utilisateur dans cinq applications mobiles, dont Signal, Duo et Facebook Messenger», écrit la chercheuse sur son compte Twitter.
I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
Grâce aux vulnérabilités évoquées, des pirates auraient pu appeler et écouter les utilisateurs sans qu’ils décrochent l’appel.
Mme Silvanovich a signalé tous les défauts de conception aux développeurs pour qu’ils soient corrigés.
Ainsi, Signal a fixé la faille en septembre 2019, quand les autres messageries l’ont corrigée entre juillet et décembre 2020, précise le blogue de Google Project Zero.