Mobile: Une app a exposé des photos et des fichiers privés

Les chercheurs de la firme TrustWave ont découvert une importante faille de sécurité sur l’app GO SMS Pro. Cette populaire app de messagerie compte plus de 100 millions de téléchargements sur la boutique Play Store du système Android.

En pratique, chaque fois qu’un utilisateur envoie un message via l’application pour partager une photo, une vidéo, un message audio ou un autre fichier, le contenu est chargé sur les serveurs de la société et partagé via un lien. Ce dernier peut être envoyé à une personne qui ne possède l’app pour qu’il puisse accéder au contenu du message. C’est là que réside le problème. Aucune mesure de sécurité n’est appliquée à ce lien, qui n’est de plus pas généré de manière aléatoire, mais est de type séquentiel. Il est donc possible pour une personne malveillante de deviner les adresses web et d’accéder à une grande quantité de contenus censés ne pas être publics. Il n’est en effet pas nécessaire de s’authentifier ou d’obtenir une autorisation pour y accéder.

Les chercheurs ont d’ailleurs démontré qu’il était possible de créer un script «capable de rechercher à travers le Net tous les fichiers stockés dans le cloud». En vérifiant les informations de ces experts en sécurité, le site spécialisé TechCrunch a pu mettre la main entre autres sur des photos à caractère explicites, le numéro de téléphone d’une personne, une capture d’écran d’un transfert bancaire, une confirmation de commande qui incluait une adresse de domicile, ainsi qu’un rapport d’arrestation.

La découverte a eu lieu en août dernier. Les chercheurs ont alors contacté l’éditeur de l’app et attendu le délai habituel de 90 jours avant de publier leur trouvaille, le temps de permettre à la plateforme GO SMS Pro de corriger le problème. Mais les développeurs de l’app n’ont à l’heure actuelle ni déployé un correctif, ni répondu au signalement, rapporte le site TechCrunch.