Des chercheurs en sécurité de Zengo, fabricant de portefeuilles crypto, ont découvert une nouvelle vulnérabilité dans la configuration multi-appareils de WhatsApp.
Cette vulnérabilité pourrait potentiellement exposer des détails sur les systèmes d’exploitation et les configurations des appareils des utilisateurs, conduisant à une exposition de métadonnées et à des menaces potentielles de logiciels malveillants. La faille provient du processus de génération d’ID de message de WhatsApp.
Exposition des métadonnées de Whatsapp et risque de malwares
L’analyse de Zengo montre que WhatsApp génère des ID de message uniques pour chaque appareil lié à un compte, tels que les téléphones Android, les iPhones et les ordinateurs de bureau Windows.
Chaque plateforme génère des ID dans différents formats, avec des longueurs et des caractéristiques variables selon le système d’exploitation.
1/ @WhatsApp leaks user device Operating System info via Message ID and Sesame protocol's Device ID https://t.co/OpVTwenNDW
— Tal Be'ery (@TalBeerySec) October 15, 2024
Tal Be’ery, co-fondateur de Zengo, a expliqué dans l’analyse que les cybercriminels pourraient déterminer sur quelle plateforme se trouve un utilisateur en analysant ces ID de messages.
Par exemple, un client WhatsApp Windows génère un ID de 18 caractères, tandis que les clients Android et iPhone ont leurs propres structures d’ID distinctes.
Cette exposition de métadonnées pourrait fournir des informations précieuses aux cybercriminels, leur permettant d’adapter les attaques de logiciels malveillants en fonction de l’appareil de l’utilisateur.
Be’ery a souligné que connaître le système d’exploitation d’un utilisateur est crucial lors du déploiement de logiciels malveillants, car chaque plateforme a ses propres faille.
🚨 New WhatsApp RCE (CVE-2019-11931)
Facebook quietly patched another critical flaw in #WhatsApp that could have allowed attackers to hack targeted devices remotely and install #spyware on them — just by sending MP4 media file.
Details: ➤ https://t.co/eiAp2b5ci2#infosec pic.twitter.com/a2GpNLOt6R
— The Hacker News (@TheHackersNews) November 16, 2019
Avec ces informations, il serait possible de cibler l’appareil le plus vulnérable associé au compte WhatsApp d’un utilisateur. Une menace qui s’ajoute aux logiciels de surveillance des téléphones.
Bien que Be’ery ait minimisé la gravité de la menace, il a reconnu le potentiel d’exploitation de cette faille par des acteurs sophistiqués.
Dans son analyse, Be’ery ajoute :
Bien que ce ne soit pas catastrophique, c’est une préoccupation sérieuse.
Zengo affirme avoir notifié Meta, la société mère de WhatsApp, de la faille le 17 septembre, mais n’a toujours pas recu de réponse du géant de la technologie.
Cette attitude a incité Zengo à rendre le problème public. Be’ery a exprimé sa déception face au silence de Meta, au regard de la simplicité du problème et le risque potentiel.
Ce n’est pas la première fois que Zengo met en lumière un problème de sécurité dans WhatsApp. En septembre, l’entreprise avait également identifié une faille dans la fonction “Voir une fois” de WhatsApp, qui était censée garantir la disparition du contenu multimédia après visualisation.
Malgré les tentatives de Meta pour résoudre le problème, Zengo affirme que la correction a été rapidement contournée, laissant cette vulnérabilité non résolue.