Publié par UnderNews Actu - Télécharger l'application Android

Vous connaissez surement Privnote.com, le site qui vous permet de créer des notes sécurisées qui seront auto-détruites après lecture. Un internaute vient de casser le mythe du site en montrant une sérieuse lacune de sécurité pour un tel service qui se veut ultra-sécuritaire…

C’est Lycroft de ToolzWare qui vient de donner l’alerte après avoir remarqué que le site interprétait tout script JavaScript présent dans les notes. Une sérieuse vulnérabilité donc, exploitable par des pirates voulant attaquer leur cible avec “style”.

En effet, aucun filtre n’est présent et on peut imaginer n’importe quoi ! Personne n’ira se méfier via un lien à priori totalement inoffensif en HTTPS sur un site reconnu pour sa sécurité ! Or sur le coup, l’utilisateur risque gros… Redirection malveillante, vol de cookie/session, prise de contrôle du navigateur, modification de la page de Privnote, etc.

Celui qui a découvert cette possibilité a tenté d’avertir Privnote sans succès. Il livre en exclusivité un simple PoC permettant d’afficher une simple alerte de type “Hello World” :

CyberGhost VPN Promo

Vous l’aurez compris, cet article est une alerte de sécurité. Soyez très vigilent si vous utilisez le service Privnote tant que cette possibilité d’exploitation malveillante n’est pas corrigé (liens dans les mails, ou sur les messageries instantanées par exemple). Espérons que l’équipe du site sera réactive car pour le moment il semble que ça ne soit pas le cas. Un peu bizarre étant donné que ce service n’a pas lieu d’exister s’il n’est pas à 100% sécurisé…

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , , ,

Recherches en relation :

  • privnote
  • privnote avis

Vos réactions
  1. un passant

    Bon déja, la xss n’est pas nouvelle, et existe depuis plusieurs années, et de toutes facon peut-on reelement creer une telle interface en la présentant comme 100% sécurisé, undernews nous rappel assez régulièrement que la sécurité totale nest q’un doux mythe…

    • UnderNews UnderNews

      C’est encore pire si elle est ancienne : même pas un effort de correction ! OMG ça craint de leur part…

Ils parlent du sujet :

  1. […] des notes sécurisées qui seront auto-détruites après lecture.See on https://www.undernews.fr Partager cet article:J'aime ceci:J'aimeBe the first to like […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.