Les pirates révèlent comment l’attaque par injection de code fonctionne dans l’application de messagerie de signal

Après la révélation des détails de l’ attaque eFail , il est temps de révéler comment fonctionne la vulnérabilité d’injection de code récemment signalée dans l’application populaire de messagerie de signal cryptée de bout en bout.

Comme nous l’avons signalé le week-end dernier, Signal a corrigé son application de messagerie pour Windows et Linux qui a souffert d’ une vulnérabilité d’injection de code découverte et signalée par une équipe de hackers au chapeau blanc d’Argentine.

Cette vulnérabilité aurait pu être exploitée par des attaquants distants afin d’injecter une charge utile malveillante dans l’application de bureau Signal s’exécutant sur le système des destinataires en leur envoyant un lien spécialement conçu, sans nécessiter d’interaction de la part de l’utilisateur.

Selon un article de blog publié aujourd’hui, la vulnérabilité a été découverte accidentellement alors que des chercheurs - Iván Ariel Barrera Oro, Alfredo Ortega et Juliano Rizzo - discutaient sur Signal messenger et l’un d’eux partageait un lien d’un site vulnérable avec une charge XSS dans son URL .

Cependant, la charge utile XSS a été exécutée de manière inattendue sur l’application de bureau Signal.

XSS, également connu sous le nom de script inter-site, est un vecteur d’attaque commun qui permet aux pirates d’injecter du code malveillant dans une application Web vulnérable.

Après avoir analysé la portée de ce problème en testant plusieurs charges XSS, les chercheurs ont découvert que la vulnérabilité résidait dans la fonction de gestion des liens partagés, permettant aux pirates d’injecter du code HTML / JavaScript défini par l’utilisateur via iFrame, image, vidéo et audio.

En utilisant cette vulnérabilité, les pirates peuvent même injecter un formulaire sur la fenêtre de discussion du destinataire, en les incitant à révéler leurs informations sensibles en utilisant des attaques d’ingénierie sociale.

Il avait précédemment été spéculé que la faille Signal pourrait avoir permis aux attaquants d’exécuter des commandes système ou de gagner des informations sensibles comme des clés de décryptage - mais non, ce n’est pas le cas.

La vulnérabilité a été immédiatement corrigée par les développeurs de Signal peu après la sortie de la vidéo de validation de concept par Ortega le week-end dernier.

Les chercheurs ont également découvert qu’un correctif (fonction regex pour valider les URL) pour cette vulnérabilité existait dans les versions précédentes de l’application de bureau, mais il a été supprimé ou ignoré dans la mise à jour Signal du 10 avril dernier.

Maintenant, après avoir connu tous les détails de la vulnérabilité, il semble que la question n’est pas critique ou dangereuse, comme cela a été spéculé.

Vous pouvez donc vous fier librement à Signal pour une communication cryptée sans aucun souci. Assurez-vous simplement que le service est toujours à jour.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image