Un analyste de sécurité a conçu un moyen de capturer les informations d'identification de la messagerie vocale visuelle (MVV) sur les appareils Android, puis d'écouter à distance les messages vocaux à l'insu de la victime.

Le bug, nommée CVE-2022-23835, n'est pas une faille dans le système d'exploitation Android, mais plutôt dans la manière dont le service est mis en œuvre par les opérateurs de téléphonie mobile.

Cependant, la faille a un statut "contesté" car AT&T et T-Mobile ont rejeté le rapport pour avoir décrit un risque non exploitable, tandis que Sprint et Verizon n'ont pas répondu.

Bien que l'exploitabilité de la faille soit remise en question, le centre de coordination CERT a publié les détails de la découverte de Talbot en raison de l'impact potentiel et de l'existence d'un outil PoC (proof of concept) publié pour exploiter le bogue.

Visual Voice Mail est un système de messagerie vocale utilisé par de nombreux opérateurs mobiles qui permet aux clients de visualiser, d'écouter et de gérer les messages vocaux dans n'importe quel ordre.

L'utilisation de la méthode découverte par le chercheur Chris Talbot constitue une violation importante de la vie privée, car elle permet à une personne distante d'écouter potentiellement les messages privés et, dans de nombreux cas, sensibles, d'une personne.

Étant donné qu'Android laisse tous les messages vocaux sur le serveur IMAP jusqu'à ce que l'utilisateur les supprime dans l'application cliente, un acteur malveillant pourrait accéder non seulement aux messages récents, mais aussi à l'ensemble des archives historiques, selon la diligence avec laquelle la victime efface ses données.

L'analyste a testé l'exploit contre des applications PCV Android, mais l'iPhone, qui prend également en charge les fonctions PCV, n'a pas été testé.

En outre, lorsque la victime change de smartphone, l'opérateur ne réinitialise pas le mot de passe PCV, même si le numéro IMEI associé à la carte SIM a changé.

À ce stade, la seule façon pour les consommateurs de se protéger contre ces attaques est de traiter les demandes d'autorisation par SMS avec prudence.

Etant donné que la plupart des applications de messagerie instantanée demandent cette permission, il ne faut installer donc que des applications de ce type provenant de sources et d'éditeurs dignes de confiance.

En outre, il est recommandé de changer régulièrement le mot de passe PCV et de supprimer les messages vocaux écouté et dont on n'a plus besoin.

Enfin, l'accès aux services du PCV via un portail web est beaucoup plus sûr que l'utilisation d'applications clientes sur l’appareil mobile.