Une énorme bourde affecte l’application Messenger by Miyowa (l’application officielle) : les logs affichent en clair l’identifiant et le mot de passe du compte.

C’est par l’intermédiaire d’Android-Belgium, que nous apprenons qu’une faille relativement importante affecte l’application officielle de Windows Live Messenger (qui se nomme Messenger by Miyowa sur le Play Store).

Lorsque vous utilisez l’application, un log affiche tout simplement votre identifiant et votre mot de passe en clair. Exemple :

Ces logs sont accessibles via le logcat pour vous, mais également aux applications tierces qui utilisent la permission « READ_LOGS« . Avoir besoin d’un tel accès était déjà étrange, mais aujourd’hui on peut tout à fait imaginer une application venant récolter vos identifiants Windows Live. Sachant que ce compte peut notamment être lié à du Xbox Live, cela devient plutôt inquiétant.

Par conséquent, nous vous recommandons de désinstaller cette application si elle sur votre smartphone, tant qu’une mise à jour n’est pas déployée.

Merci à Waza_Be !