Connues pour leur système de chiffrement de bout en bout des discussions, les apps de messagerie WhatsApp et Telegram peuvent néanmoins permettre à des hackers d'accéder à des données sensibles. Les chercheurs de la société de sécurité Symantec ont découvert une faille sous Android qui peut permettre à des personnes malintentionnées de manipuler les photos et vidéos des utilisateurs à leur insu. Les fichiers audio et les documents sont aussi concernés par cette vulnérabilité qui se situe au niveau du partage des fichiers médias.
Baptisée Media File Jacking, elle exploite le court instant entre lequel les médias sont reçus et écrits sur l'espace de stockage externe de l'appareil et celui où ils s'affichent totalement dans l'interface de l'utilisateur. «Le fait que les fichiers soient stockés dans un stockage externe et chargés à partir de celui-ci sans moyens de sécurité adéquats [...] permet à d'autres applications disposant d'une autorisation d'écriture vers ce stockage externe de mettre en péril l'intégrité des fichiers multimédia», explique Symantec sur son blog.
Afin de limiter les risques, Symantec recommande pour le moment de désactiver l'option de visibilité des médias dans WhatsApp et d'enregistrement automatique des médias reçus dans la galerie d'image sur Telegram. La faille sera corrigée avec la prochaine version Q du système d'exploitation Android. Elle ne peut être exploitée que si l'utilisateur utilise une carte de mémoire externe.
«Comme nous l'avons déjà dit par le passé, aucun code n'est à l'abri de failles de sécurité», rappelle Symantec.