Instagram Hack

L'application Instagram présentait une vulnérabilité permettant à une personne malintentionnée de prendre le contrôle du smartphone de la victime avec un accès à l'appareil photo et au microphone. Et pour en arriver là, il suffisait d'envoyer une simple photo vérolée !

La faille en question a été découverte par les experts du cabinet Check Point Security au mois d'avril. Mis au courant, les ingénieurs de Facebook l'ont corrigée. Toutefois, on ne sait pas si cette dernière a été largement utilisée.

Lire aussi :
Twitter teste les messages privés vocaux

Une attaque simple et efficace

La vulnérabilité en question pouvait être exploitée par une simple image renfermant un morceau de code spécifique et envoyée par email ou via une messagerie. Si la victime enregistrait la photo sur son téléphone et ouvrait l'application Instagram, le hacker pouvait prendre le contrôle du compte utilisateur. Par la même occasion, il avait également accès aux fonctionnalités de l'application, c'est-à-dire à l'appareil photo ou au microphone.

Check Point rappelle qu'il est important de passer en revue les permissions de chaque application. Yaniv Balmas, Directeur du département de la recherche du cabinet affirme : « En pratique, c'est l'une des meilleures lignes de défense dont tout le monde dispose pour faire face aux cyber-attaques sur mobile ».

Lire aussi :
La publication simultanée sur Instagram et Facebook en test, preuve de la perte de vitesse du réseau ?

Android 11 : meilleure gestion des permissions

Dans un bulletin de sécurité, Facebook précise que cette vulnérabilité affectait les smartphones Android. Il est d'ailleurs intéressant de noter que la prochaine version de l'OS mobile de Google apporte un certain nombre de nouvelles mesures de sécurité.

Pour une application en particulier, les utilisateurs auront la possibilité de n'autoriser l'accès qu'une seule fois à la puce GPS, au microphone et à l'appareil photo. Cela signifie qu'il faudra à nouveau accorder ces permissions au prochain lancement de cette application.

Notons par ailleurs qu'après avoir bloqué une permission à deux reprises au lancement d'une application, il sera nécessaire de se rendre dans les paramètres de cette dernière pour l'activer.

Rappelons qu'avec Android 11, les applications ne sont plus en mesure de collecter des informations en tâche de fond. Cette dernière devra être active. Dès le mois de novembre, Google retirera du Play Store celles qui ne se sont pas pliées à cette règle.

Source : Busines Insider, Facebook