BlackBerry: une sérieuse faille via les images

RIM, fabricant des BlackBerry, invite à corriger une faille dangereuse, exploitable sur ses serveurs lors de transferts d’images

C’est sérieux. La note de gravité d’une faille reconnue par Research in Motion (RIM), fabricant des terminaux et serveurs BlackBerry, est classée au niveau 10 dans la notation <i>Common vulnerability scoring</i>.
Il s’agit d’un bug pas du tout inoffensif : il permet de prendre la main sur sur les serveurs BlackBerry lorsqu’un utilisateur reçoit sur son terminal des images contenant des images piégées (‘booby-trapped’).
RIM n’avait pas besoin de cette contre-publicité au moment où l’on découvre que, lors des récentes émeutes de Grande-Bretagne, la firme a été la cible de piratages visant à la punir pour avoir collaboré avec la police (cf. article ‘Emeutes en Angleterre: RIM est piraté pour vouloir aider la police‘)

La vulnérabilité, dont l’existence a été reconnue, réside dans un sous-ensemble du logiciel qui assure le traitement du rendu des images .tiff ou .png sur les smartphones BlackBerry.
Un ‘hacker’ mal intentionné pourrait exploiter la faille en insérant un lien dans une image fabriquée à cette fin et envoyée dans un message ou un email à un utilisateur de ‘smartphone’ BlackBerry.
A noter qu’il n’est pas nécessaire que l’utilisateur clique sur l’image et l’ouvre pour lancer l’attaque.

« Ces vulnérabilités pourraient permettre à un ‘hacker’ d’exécuter toute sorte de code en utilisant les droits d’accès à un compte de serveur d’entreprise BlackBerry« , admet RIM qui a publié un bulletin d’alerte (*) reconnaissant la réalité de cette faille permettant de prendre la main sur ses serveurs d’entreprise.

Cette vulnérabilité est à prendre au sérieux et le constructeur invite donc à procéder, au plus vite, à l’installation d’un ‘patch’ (correctif). Si cette opération de correction n’est pas possible dans l’immédiat, il est recommandé de désactiver les fonctions d’envoi/ réception d’images ou de contenus avec documents.
Toutes les versions des ‘Enterprise servers’ de BlackBerry pour Microsoft Exchange et IBM Lotus Domino sont concernées sauf la 5.03 MR3 et suivantes. RIM propose six liens correctifs, selon les versions concernées.
______
(*) Source: https://btsc.webapps.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB27244
« Vulnerabilities exist in how the BlackBerry MDS Connection Service and the BlackBerry Messaging Agent process PNG and TIFF images for rendering on the BlackBerry smartphone«

Lire aussi : ParseDroid menace les développeurs d’applications Android