Actualités

Giggle : déploiement d’un pach suite à la brèche portant sur la géolocalisation, les numéros de téléphone et les selfies !

Voilà une trouvaille des plus étonnantes mise en lumière par Digital Interruption : voulant tester Giggle, une application pour filles, femmes, le site a soulevé un lièvre insécuritaire ; et non du moindre : quasiment l’ensemble des données confidentielles, étaient peu ou prou chiffrés.

 

 

L’examen des demandes réseau a révélé que même si le compte était dans un état non validé, nous avions toujours un jeton d’authentification valide (il s’avère qu’il est codé en dur dans l’application) nous permettant de faire des requêtes à l’API. Encore une fois, nous n’avons pas effectué d’analyse complète, même si nous soupçonnons que des problèmes pourraient exister ici. Nous avons examiné le point de terminaison UserList. Celui-ci contenait un paramètre de filtre qui contenait mon numéro de téléphone, un opérateur (dans ce cas «égal») et un champ («mobile»). C’est probablement ainsi que les détails du compte d’un utilisateur sont récupérés à partir de l’API“, est-il détaillé dans un article, au 10 Septembre dernier.

 

Fort de la découverte, les chercheurs ont poussé le vice plus loin en changeant quelques paramètres (notamment le GUID jointé initialement au profi-user), ce qui a empiré la brèche avec un démasquage du peu d’informations qui l’était (l’âge, entre-autres). Pire encore, les coordonnées GPS (latitude, longitude) depuis Google Maps permettaient de savoir les dernières positions attribuées, par compte-utilisatrice… Un constat retrouvé dans la procédure de confirmation : alors que le mail ou le selfie n’a pas été validé (par retour vers le serveur de l’application), l’utilisateur peut, tout de même, utilisé son authentification pour aller sur l’application mobile via le jeton d’authentification ainsi, indirectement, détourné.

Par relation avec le GUID, également, détourné, la photo-même de confirmation (selfie) se revoit, en finalité, compromise ce qui représente une mise à nue quasi-totale de données où l’on peut associer facilement une photo à un profil-user. Pour rappel, cette application est censé pouvoir garantir une liberté de paroles ou de navigation sur des sujets parfois intimes ou qui ne concerne que les femmes, les filles ou les adolescentes : “Giggle a des sections encourageant les femmes à trouver du soutien sur l’avortement, les abus, la toxicomanie et les relations parmi d’autres catégories. La quantité de données disponibles signifie qu’avec un numéro de téléphone ou un nom, un partenaire violent serait potentiellement en mesure de trouver l’emplacement d’une femme maltraitée et de confirmer son identité avec l’image de vérification. Il existe également une section pour les professionnel (le) s du sexe, qui s’attendraient naturellement à ce que toute application leur permettant de faire de la publicité pour leur travail dispose de contrôles de confidentialité et de sécurité adéquats. Même si un utilisateur supprime son compte, ces données semblent toujours être enregistrées“, est-il dangereusement souligné.

Après quelques couacs relationnels, les éditeurs ont répondu aux nombreux messages Twitter du site-auteur(e) qui, au 10 Septembre dernier, a pu enfin colmater cette brèche… A veiller !

 

 

Source : Digital Interruption – 10 Septembre 2020 – Giggle : faille dans l’application mobile concernant les tokens, numéros de téléphone, géolocalisation et selfies.

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020