Les chercheurs en sécurité de Trustwave/Spiderlabs ont trouvé une faille de sécurité d’une banalité affligeante dans Go SMS Pro, une messagerie Android très populaire.
Utilisée par plus de 100 millions de personnes, elle permet notamment d’envoyer des images ou des vidéos, même à des interlocuteurs qui n’ont pas cette appli. En effet, les fichiers média sont systématiquement téléversés dans le cloud et accessibles depuis un lien HTML qui peut être intégré dans un SMS.
Le problème, c’est que n’importe qui peut consulter ces liens, car il n’y a aucun contrôle d’accès. Par ailleurs, ils peuvent être devinés aisément, car ils sont composés d’un identifiant hexadécimal qui est simplement incrémenté à chaque nouvel upload.
Un simple script de deux lignes suffit pour les scanner de façon automatique et, ainsi, accéder à toutes ces pièces jointes. Contacté à plusieurs reprises par les chercheurs, l’éditeur n’a jamais répondu et cette faille est toujours présente. Seule solution : supprimer cette application, et vite.
Source : Trustwave/Spiderlabs
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.