Une énorme bourde affecte l’application Messenger by Miyowa (l’application officielle) : les logs affichent en clair l’identifiant et le mot de passe du compte.
C’est par l’intermédiaire d’Android-Belgium, que nous apprenons qu’une faille relativement importante affecte l’application officielle de Windows Live Messenger (qui se nomme Messenger by Miyowa sur le Play Store).
Lorsque vous utilisez l’application, un log affiche tout simplement votre identifiant et votre mot de passe en clair. Exemple :
Ces logs sont accessibles via le logcat pour vous, mais également aux applications tierces qui utilisent la permission « READ_LOGS« . Avoir besoin d’un tel accès était déjà étrange, mais aujourd’hui on peut tout à fait imaginer une application venant récolter vos identifiants Windows Live. Sachant que ce compte peut notamment être lié à du Xbox Live, cela devient plutôt inquiétant.
Par conséquent, nous vous recommandons de désinstaller cette application si elle sur votre smartphone, tant qu’une mise à jour n’est pas déployée.
Merci à Waza_Be !
Rendez-vous un mercredi sur deux sur Twitch, de 17h à 19h, pour suivre en direct l’émission SURVOLTÉS produite par Frandroid. Voiture électrique, vélo électrique, avis d’expert, jeux ou bien témoignages, il y en a pour tous les goûts !
ca craint
Le problème est à présent résolu, il vous suffit de mettre à jour votre application depuis Google Play (version 2.0.88).
Le problème est à présent résolu, il vous suffit de mettre à jour votre application depuis Google Play (version 2.0.88).
Le problème a été corrigé ce weekend. Il suffit de mettre à jour l'application avec la dernière version ( 2.0.88)
visiblement ils ont du lire le forum une mise à jour est dispo!
Je remercie Frandroid de m'avoir enfin entendu :-)
Hm charmant de la part d'MSN qui déjà ne fait plus vraiment grand bruit ...
Peu importe. D'une manière ou d'une autre, l'information concernant la disponibilité immédiate de la maj vers ics sur le galaxy s2 nu (XEF), est disponible sur le site Frandroid. :-)
En fait encore c'est pas trop grave si on a pas d'autres applications "read log" qui sont en plus des chevaux de Troie qui vont analyser les logs. Non il y a plus grave le mot de passe est en clair sur le réseaux, mais ça c'est vrai pour plusieurs autres alternatives.
ça me rassure pas pour mon skydrive, contenant des photos personnelles notamment :(
Sauf que l'application de ta banque n'a pas ce genre de faille. Installe celle-ci, ça te servira : https://play.google.com/store/apps/details?id=com.magmamobile.app.la.conjugaison.fr
Trillian, l'utime solution
j'en doute
Je pense que la remarque de BankiZ était du sarcasme...
Tu as la comprenette difficile, je vois. C'est justement parce que l'article n'a pas été publié que mon commentaire est possiblement utile, pour ceux qui le lisent et qui ont un sgs2 xef. Tu comprends mieux, dit comme ça ? Dénoncer ? Mais non, je m'interroge, nuance. Regarde bien ma phrase, elle se termine par un point d'interrogation.
Meebo peut aussi être utilisé comme appli alternative
Messenger n'est pas vraiment un réseau social. La majorité des gens l'utilisent pour clavarder (=discuter en direct) et peux de gens l'utilisent pour étaler leur vie privée contrairement à Goole+ ou FaceBook. L'avantage, c'est que Microsoft n'a que peu d'information sur toi et respecte d'avantage ta vie privée (je ne pense pas qu'ils analysent tes conversations) alors que Facebook sait tous sur toi (statut, données personnelles, photo, conversation, position GPS) grâce aux données que tu leur a fourni ou par tes "amis".
Dans le cas cité par "Visiteur", le problème ne provient pas des applications "root" mais des sauvegardes réalisées par Titanium Backup qui sont accessibles par n'importe quelle application ayant accès à la carte mémoire (root ou pas root). Titanium Backup stocke les données des applications dans un fichier zip et la majorité des mots de passe sont stockés en clair. PS: L'utilisation d'un hash n''est pas une solution pour stocker le mot de passe. Le hash n'étant pas réversible, il ne peut être utilisé pour s'authentifier ... même par l'application légitime.
Non, je ne voit pas ce qu'il y a de confus, mon commentaire ne porte pas exactement sur le sujet du post??? Tu peut peut être ouvrir un peut les yeux et voir plus loin ????? Je rapporte l'application de sécurité des applications aux systèmes en lui mêmes, quand tu vois a quoi on accès toutes les application c'est pas très sécurisant si tu veut payer avec t'a carte bleu et regarder tes compte avec l'application de ta banques. Les phrases pourris tu peut te les garder mon amis.
Tu as bien fait effectivement, on voit l'immense utilité que ça a apporté. Heureusement, grâce à toi, l'article a pu être publié. Bref... Sinon, de là à dénoncer une entente entre Frandroid et Samsung, heuuu o_o
Fans d'android? Linux? Libre? Opensource ... ... Dans ce cas la j'espere que vous etes deja avec jabber (XMPP(
Très utile pour avertir les autres le formulaire... 7 heures après, toujours pas darticle de frandroid... Jai bien fait tu vois ? Entente avec Samsung pour minimiser levenement face a larrivee du s3 ? Va savoir Charles...
Très utile pour avertir les autres le formulaire... 7 heures après, toujours pas darticle de frandroid... Jai bien fait tu vois ? Entente avec Samsung pour minimiser levenement face a larrivee du s3 ? Va savoir Charles...
C'est une appli officielle, MS avait juste la flemme de développer une appli sur ANDROID (concurrent de windows mobile quoi).
Mercury, la solution.
Pourquoi attendre demain? Maintenant que l'idée est lancée...
Pratique pour récupérer les mots de passe de ses potes "tiens utilise mon tel pour te connecter à MSN"
un peu comme si demain tu creves, tout le monde s'en fou ...
idem, et comme je considere que facebook est pour les imbéciles voyeurs, je reste sur msn !
allez, je passe sur eBuddy. Merci !
Pour ceux qui veulent pas passer par facebook , il y'a Skype .. Enfin chacun nos habitudes quoi ! :)
Certes, mais on a reçu un communiqué de Microsoft. Il y a eu meme 2 actus dessus : https://www.frandroid.com/applications/67045_le-client-officiel-windows-live-messenger-sera-disponible-des-lundi-sur-android/ https://www.frandroid.com/applications/67323_windows-live-messenger-by-miyowa-est-disponible-sur-landroid-market/
Mais on a reçu un communiqué de Microsoft comme quoi c'était "leur" appli pour Windows Live
Source de quoi? Je dois t'expliquer ce que c'est un log? Sérieux, il suffit d'installer ceci pour iPhone; http://blog.jerodsanto.net/2009/06/sniff-your-iphones-network-traffic/ et les informations envoyées au serveur aparaissent en clair, ce qui m'a fait désinstaller l'application de ma banque, dont je ne citerai pas le nom.
En même temps avec le nombre d'info persos qui passent dans les logs ( Nom, Prénom, Adresse e-mail, etc... )... Perso, plus rien ne m'étonne.. :|
Source ?
https://play.google.com/store/apps/details?id=miyowa.android.microsoft.wlm&hl=fr Il n'est indiqué nulle aprt que c'est "officiel". Et miyowa est une start-up française, à la base. Une application "officielle" serait éditée par microsoft.
perso, j'suis sous "my friends" vu que je suis chez orange et que la data via cette appli n'est pas décomptée. sinon j'utilise imo (encore du multiprotocole;)) même pour fb je n'utilise pas forcément l'appli officielle, tout simplement pour une raison de place, les appli muti protocol me permettant par une seule apk d'en remplacer 2 ou 3..
trillian est la meilleure sur android, et cela de loin. surtout qu'il est gratuit (sur android)
Ça a l'air confus dans ta tête...
hé bien qu'ils ce fassent hackés tous ces dégénérés, osef un peu d'eux.
cest pas une application windows live officielle, c'est by Miyowa
Cela n'a rien à voir avec la plateforme Android.. Les logs, cela existe sous Windows, Mac, Android, iOS, et un mauvais développeur, cela arrive partout! Perso, je préfère une plateforme ou les informations circulent qu'une autre ou on masque les problèmes. Par exemple, sous iOS, les applications de certaines banques laissent passer bien plus d'infos, mais on en parle pas, et c'est là que cela fait peur!
Après c'est marseillais aussi ...
Le Gros problème c'est surtout que les application android on Access a beaucoup trop de contenue, j'ai un peut peur pour les gens qui paye sur le market avec leur carte bleu ......comme moi , que je vais retiré tout de suite d'ailleur ( ça resterais surment dans les logs de google.....) Je serais obligé d'ouvrir un compte dans une autre banque spécialement pour internet et autre market si je m'écoutez...... OMGQuelqu'un peut pas nous proposé un os claire et sécurisé putain...
Y a un formulaire spécial pour contacter Frandroid...
Je pense pas ! MSN reste très répandu, entre autres, chez les moins de 18 ans !
D'un coté on nous dit de désinstaller l'application et juste en dessous on nous met le Qcode pour la dite applis, il n'y a rien qui cloche la??? Ceci étant dit je n'aime pas les réseau sociaux mais je suis sur que ce genre de boulette se retrouve un peu partout!!
Pas nécessairement, si le soft est bien conçu le mot de passe n'est jamais envoyé en clair sur le réseau et seul un hash quelconque est nécessaire. Alors certes ce hash permet éventuellement de se connecter, mais (encore qu'il doit y avoir un moyen de se protéger contre ça) pas de retrouver le mot de passe. Bien entendu ça suppose que toutes les applications sont bien pensées ... ce qui n'est évidemment pas le cas. Maintenant c'est aussi ça le danger du root. Tout le monde veut rooter son appareil dès sa sortie sans penser à cette "petite" conséquence qui est que n'importe quelle application avec les droits root peut récupérer tous les mots de passe et informations personnelles.
Je sais pas s'il vaut mieux utiliser l'application officielle et éviter simplement l'installation d'applications qui lisent les logs ou bien installer une application alternative qui peut potentiellement envoyer vos identifiants n'importe où et à n'importe qui ...
Malheureusement, entre 10 et 50 millions de personnes l'utilisent! Il faut se rendre compte en regardant les "top apps" que les plus téléchargées sont souvent de grosses daubes (Justin Bieber sounds, Windows Live, etc..) Malheureusement, une fois que l'on laisse la liberté aux utilisateurs de faire des boulettes... Ils le font! Quand j'ai découvert cette faille ce matin, c'était une amie qui voulait à tout prix me retrouver, et elle ne jure que par cette daube!
Mais qui peut bien utiliser pareille application aujourd'hui ? Cela me turlupine.
qui utilise encore msn ? lol jpense moins de personnes quavant cest sur que fb chat est passe bien devant
Quelqu'un aurait des suggestion d'application pour faire du MSN dans de bonnes conditions sur une tablettes? Toutes celles que j'ai testés sont optimisés pour smartphones, mais sont un peu dégeulasse une fois adapté au format tablette. Pour l'instant j'utilise Talkdroid qui est pas mal
Y a aussi MSN Mercury qui est sympa et permet notamment de faire du multi session.
Merci !
C'est bien l'officielle (le communiqué de presse le dit) - même si d'autres non officielles sont (bien) mieux
@mehdi : Personnellement, j'utilise palringo qui est multi protocole et multi plateforme.
Une application officielle cette daube ? Tant que je verrais pas Microsoft dans le nom de l'éditeur pour moi ça ne sera pas le cas. Pour les avoir un peu toutes testées je peux vous dire que c'est de loin la plus naze.
Haha pas mal ça :)
Si vous utilisez un programme de sauvegarde d'application (ex: Titanium Backup), toutes les applications qui ont accès à la carte SD peuvent lire vos mots de passe stockés dans les sauvegardes.
Beejive : https://play.google.com/store/apps/details?id=com.beejive.im.lm IM+ : https://play.google.com/store/apps/details?id=de.shapeservices.impluslite eBuddy : https://play.google.com/store/apps/details?id=com.ebuddy.android Nimbuzz : https://play.google.com/store/apps/details?id=com.nimbuzz Et bien d'autres !
Une application alternative à proposer ?
C'est partie pour aller vite la désinstaller ;)
HEHO ! FRANDROID ! La MAJ vers ICS pour le Galaxy S2 XEF est DISPO sur KIES ! (je suis en train de le faire) Pourriez pas nous informer, maintenant que c'est bon ? Vous nous avez donné tellement de fois cette info alors qu'elle était fausse ?
Effectivement, sympa la boulette...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix