L’établissement des connexions est souvent mal implémenté. Dans certaines conditions, il était possible de récupérer en douce des flux audio et/ou vidéo dans la part d’un interlocuteur, sans aucune interaction.
La chercheuse en sécurité Natalie Silvanovich vient de révéler une série de failles qu’elle a découverte dans cinq messageries de premier plan : Signal, Facebook Messenger, Google Duo, JioChat et Mocha. Aujourd’hui corrigées, ces failles permettaient de recevoir en douce des données audio et/ou vidéo de la part d’un interlocuteur simplement en initiant un appel et sans aucune interaction de sa part. Elles sont similaires à cet énorme bug trouvé en 2019 dans FaceTime, et c’est d’ailleurs ce qui a inspiré le travail de recherche de Natalie Silvanovich.
Toutes ces applications de messagerie s’appuient sur le protocole WebRTC pour gérer les flux audio/vidéo. Mais la manière d’établir ces connexions est très variable et, comme a pu le constater cette experte, la gestion des états de signalisation (« Signalling State Machines ») est souvent assez complexe et mal goupillée. Dans les cas de Signal et Facebook Messenger, il était ainsi possible de récupérer des flux audio. Google Duo permettait de capter des flux vidéos. Quant à JioChat et Mocha, on pouvait avoir le son et l’image. Toutes ces failles ont été corrigées entre septembre 2019 et novembre 2020.
Source : Google Project Zero