WhatsApp, Telegram : une faille d’Android permet aux hackers d’accéder à vos photos

WhatsApp et Telegram sont victimes d’une faille d’Android qui permet aux hackers d’accéder aux fichiers médias échangés par messages : photos, vidéos, audio… avec la possibilité de les modifier à distance. Le chiffrement proposé par les deux applications de messagerie n’est pas un gage de sécurité absolue.

WhatsaApp et télégram, faille de sécurité

Telegram s’est forgé la réputation d’une application ultra-sécurisée grâce au chiffrement de bout en bout qui assure le caractère privé de tous les messages échangés via la plateforme.  Cette caractéristique, WhatsApp l’a aussi adoptée il y a quelques années avec la promesse d’offrir aux utilisateurs un bouclier contre l’espionnage venant des services de renseignement, mais aussi des hackers.

WhatsApp et Telegram : une faille permet aux pirates d’accéder à vos photos et vidéos

Symantec, la société de sécurité informatique connue pour sa solution antivirus Norton vient de publier un rapport sur une faille de sécurité qui affecte aussi bien WhatsApp que Telegram, deux applications chiffrées de bout en bout. La vulnérabilité a été baptisée Media File Jacking et s’exploite au moment du partage de fichiers médias. Comme l’expliquent les chercheurs, il s’écoule toujours un laps de temps pendant lequel le fichier envoyé quitte le smartphone source, est écrit sur l’espace de stockage du destinataire, puis chargé dans l’application de messagerie.

Pendant ce processus, les fichiers sont vulnérables et deviendraient « lisibles et modifiables » par les pirates grâce à des outils-espions spécialisés, et ce, malgré le chiffrement de bout en bout. Tous les types de fichiers média sont concernés : photos, vidéos, messages audio et même les documents. C’est au moment de l’écriture des fichiers sur le stockage externe chez le destinataire que la faille est entièrement exploitée.

« Le fait que les fichiers soient stockés dans un stockage externe et chargés à partir de celui-ci sans moyens de sécurité adéquats permet à d’autres applications disposant d’une autorisation d’écriture vers ce stockage externe de mettre en péril l’intégrité de vos fichiers multimédias », explique Symantec dans une note de blog. La faille peut-être exploitée uniquement si les fichiers échangés sont stockés sur une mémoire externe, le stockage interne ne permettant pas aux applications tierces d’accéder aux fichiers d’une autre application sur Android.

Comment se protéger ?

Pour le moment, la solution préconisée par Symantec est de désactiver la visibilité des médias sur WhasApp et Telegram. Sur la seconde application, cette option est désactivée par défaut, tout le contraire de WhatsApp. Les fichiers média sont automatiquement stockés sur une carte SD lorsqu’elle est disponible. Pour la désactiver, il suffit d’aller dans Paramètres > Discussions. Devant l’option Visibilité des médias, assurez-vous que celle-ci est désactivée.

Sur Telegram, c’est déjà le cas par défaut, mais certains utilisateurs choisissent de l’activer pour libérer l’espace de stockage interne. Pour désactiver la fonctionnalité, Symantec explique qu’il suffit d’aller dans Paramètres > Paramètre des échanges. Assurez-vous que l’option Enregistrer dans la galerie est bien désactivée.

Lire aussiWhatsApp n’est pas et ne sera jamais sécurisé selon le créateur de Telegram

Enfin, les chercheurs expliquent que cette faille sera bientôt corrigée dans Android Q qui introduit une nouvelle politique de confidentialité qui modifie la manière dont les applications accèdent aux fichiers sur les stockages externes d’un smartphone.

Source : Symantec

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos dernières applications !
Microsoft : vous pouvez faire vos adieux à Cortana pour Android et iOS

En rumeur depuis quelque temps, la disparition de l’application Cortana sur Android et iOS est confirmée. Microsoft a décidément bien du mal à imposer son assistant vocal face à Google Assistant et Siri. Officiellement disponible depuis décembre 2015 sur Android…

Spotify affiche désormais les paroles en temps réel comme au karaoké

Spotify améliore son interface et propose l’affichage des paroles en temps réel avec Musixmatch dans certains marchés. Désormais, l’affichage de ces paroles est parfaitement synchronisé avec la musique, comme au karaoké… Spotify est en train d’améliorer l’affichage des paroles sur certaines chansons…

Firefox Lite 2.0 est disponible sur Android, téléchargez l’APK

Firefox Lite 2.0 est désormais disponible sur Android. Cette nouvelle version apporte plusieurs nouveautés à la version allégée du navigateur web, dont une nouvelle barre de recherche permettent de comparer le prix d’articles en ligne. Pour en profiter dès maintenant,…

Google Play Store : votez pour votre appli préférée de 2019

Google vous invite ce mardi 12 novembre 2019 à voter pour votre contenu préféré sorti sur le Google Play Store 2019. Vous pourrez faire votre choix parmi 4 catégories : meilleure appli, meilleur jeu, meilleur film et meilleur livre. Le…

Waze commence à afficher le prix des péages en France

Waze commence à afficher le tarif des péages en France, mais la fonctionnalité est déployée à petite échelle, étant limitée pour l’instant à certains utilisateurs sur iOS. C’est toutefois le signe qu’un déploiement général est sur le point d’arriver. Cela…

WhatsApp : une cyberattaque massive a visé des responsables politiques

WhatsApp présentait une faille de sécurité qui a été exploitée pour espionner des utilisateurs, en particulier des responsables politiques du monde entier. NSO Group, la société israélienne qui a développé le spyware en question est désormais sous le coup d’une…

Google Assistant s’offre un nouveau design plus coloré

Google Assistant se dévoile dans un tout nouveau design plus coloré et plus épuré. La nouvelle interface organise les informations de manière chronologique en fonction des dates. Ces données sont présentées sous forme de cartes qui rappellent l’approche visuelle de Google Now. Avec…