Actualités

Fitbit : quand une faille permet d’introduire un logiciel espion depuis la galerie d’applications !

Alors que les récents défrichages législatifs re-soumettent à débat le sujet sensible de la e-donnée, une fois de plus, les PoCs continuent de fleurir, également dans ce domaine : dans un billet datant du 9 Octobre dernier, Kevin Breen, responsable des recherches de cyber-menaces au sein d’Immersive Labs, vient de mettre en évidence une vulnérabilité depuis l’app gallery de Fitbit !

 

 

“J’ai été surpris de voir à quel point il était facile de publier notre cadran malveillant sur une URL gallery.fitbit.com. À l’aide d’un tableau de bord utilisé par les équipes de développement pour prévisualiser les applications, j’ai soumis notre logiciel espion et j’ai rapidement eu notre propre URL à l’adresse https://gallery.fitbit.com/details/ <redoted>. Notre logiciel espion était désormais disponible sur fitbit.com. Il est important de noter que bien que Fitbit ne le considère pas comme «disponible pour le téléchargement public», le lien était toujours accessible dans le domaine public et notre «malware» était toujours téléchargeable“, affirme le chercheur qui a virtualisé une montre connectée sous la forme d’un cadran. Grâce à une API – fetch – le cadran a fait office d’analyseur de réseau pour chercher une porte d’entrée et exécuter du code : une fois introduit, les possibilités pouvaient être nombreuses “depuis l’identification et l’accès aux routeurs, aux pare-feu et autres appareils, en passant par le forçage des mots de passe et la lecture de l’intranet de l’entreprise, le tout depuis l’application sur le téléphone”… En finalité, les URLs malicieuses pouvaient pointer vers des campagnes de phishing ou encore une diffusion communautaire via des messages depuis WhatsApp.

 

 

L’entreprise a été contacté et a corrigé le problème en informant l’utilisateur lorsque ce dernier s’apprête à télécharger une application issue d’un lien privé. Une transparence a ou sera effectuée sur les applications qui ne sont pas publiquement divulguées tout en instaurant, par défaut, une permission inactive pour le transit des flux de données. Concernant ce dernier point, l’installation ne permet pas, au préalable, de choisir quels types de permissions il faut activer : l’ensemble des permissions étaient, par défaut, activées… A veiller !

 

 

Source : Blog Immersive Labs – 9 Octobre 2020 – Fitbit : spyware au sein de la galerie d’applications via une diffusion d’URLs.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020