Lundi, des chercheurs en cybersécurité ont révélé les détails d’une faille désormais corrigée dans l’application de messagerie Telegram qui aurait pu exposer les messages secrets, les photos et les vidéos des utilisateurs à des acteurs malveillants à distance.

Les problèmes ont été découverts par Shielder, basé en Italie, dans les versions iOS, Android et macOS de l’application. Suite à une divulgation responsable, Telegram les a adressés dans une série de correctifs les 30 septembre et 2 octobre 2020.

Les failles provenaient du fonctionnement de la fonctionnalité de chat secret et de la gestion des autocollants animés, permettant ainsi aux attaquants d’envoyer des autocollants mal formés à des utilisateurs sans méfiance et d’accéder aux messages, photos et vidéos qui ont été échangés avec leurs contacts Telegram via des chats classiques et secrets.

auditeur de mot de passe

Une mise en garde à noter est que l’exploitation des failles dans la nature n’a peut-être pas été anodine, car elle nécessite d’enchaîner les faiblesses susmentionnées à au moins une vulnérabilité supplémentaire afin de contourner les défenses de sécurité des appareils modernes d’aujourd’hui. Cela peut sembler prohibitif, mais, au contraire, ils sont bien à la portée des gangs de cybercriminalité et des groupes d’États-nations.

Shielder a déclaré qu’il avait choisi d’attendre au moins 90 jours avant de révéler publiquement les bogues afin de donner aux utilisateurs suffisamment de temps pour mettre à jour leurs appareils.

«Les examens de sécurité périodiques sont cruciaux dans le développement de logiciels, en particulier avec l’introduction de nouvelles fonctionnalités, telles que les autocollants animés», ont déclaré les chercheurs. “Les failles que nous avons signalées auraient pu être utilisées dans une attaque pour accéder aux appareils d’opposants politiques, de journalistes ou de dissidents”.

Il convient de noter qu’il s’agit de la deuxième faille découverte dans la fonction de chat secret de Telegram, à la suite des rapports de la semaine dernière sur un bogue portant atteinte à la vie privée dans son application macOS qui permettait d’accéder aux messages audio et vidéo autodestructeurs longtemps après leur disparition des chats secrets .

Ce n’est pas la première fois que des images et des fichiers multimédias envoyés via des services de messagerie sont utilisés pour mener des attaques malveillantes.

En mars 2017, des chercheurs de Check Point Research révélé une nouvelle forme d’attaque contre les versions Web de Telegram et WhatsApp, qui impliquait l’envoi aux utilisateurs de fichiers image apparemment inoffensifs contenant du code malveillant qui, une fois ouvert, aurait pu permettre à un adversaire de prendre complètement en charge les comptes des utilisateurs sur n’importe quel navigateur et d’accéder au personnel des victimes et des conversations de groupe, des photos, des vidéos et des listes de contacts.



Leave a Reply