1 000 applications iOS ont un bogue SSL invalidant Comment vérifier si vous êtes concerné
SourceDNA, une plate-forme d'analyse de code qui vérifie les applications Android et iOS, a récemment publié un rapport indiquant que plus de 1 000 applications iOS présentent une faille de sécurité grave qui pourrait compromettre les informations financières d'un utilisateur..
Le bogue empêche les applications d'authentifier correctement les certificats SSL. Qu'est-ce qu'un certificat SSL et en avez-vous besoin d'un? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. En savoir plus, ouvrant les applications à un certain nombre d'attaques de type "man-in-the-middle". Bien que cette application n’affecte pas la sécurité d’iOS elle-même, la sécurité des smartphones: les iPhones peuvent-ils obtenir des logiciels malveillants? Sécurité des téléphones intelligents: les iPhones peuvent-ils obtenir un logiciel malveillant? Les logiciels malveillants affectant des "milliers" d'iPhones peuvent dérober les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement sûrs. Quel est donc le problème des logiciels iOS et non fiables? En savoir plus, cela pourrait compromettre les données des utilisateurs transmises via les applications affectées…
Un simple bug qui casse SSL
Le bogue en question se trouve dans le package AFNetworking, une solution réseau populaire à source ouverte utilisée dans des milliers d'applications App Store. Le bogue est une simple erreur de logique qui arrête la vérification SSL et renvoie toutes les vérifications de certificat comme valides. Ce n'est pas un désastre de sécurité énorme comme HeartBleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite ou ShellShock Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité sous OS X et Linux En savoir plus - mais le problème est que vous utilisez une application contenant le bogue. Heureusement, le bogue n'existait que depuis six semaines environ, ajouté dans la version 2.5.1 et corrigé dans la version 2.5.2. Vous pouvez raisonnablement supposer que c'est la fin de l'histoire.
Malheureusement non.
Malheureusement, de nombreux développeurs ne tiennent pas activement à jour leurs applications avec les corrections de bugs. De nombreuses applications utilisent encore la version endommagée d’AFNetworking, malgré la disponibilité d’un correctif. SourceDNA a analysé 20 000 applications contenant des versions du package AFNetworking et a déterminé qu'environ 1 000 utilisaient encore le contrôle SSL rompu..
SourceDNA a pu effectuer cette vérification en utilisant des outils d’analyse permettant d’analyser les fichiers binaires de milliers d’apps. Leur technologie leur permet d’identifier non seulement les bibliothèques avec lesquelles ces applications ont été compilées, mais également les versions de ces bibliothèques. En fin de compte, cela est extrêmement utile pour identifier les applications susceptibles d'être affectées par des bogues et des vulnérabilités connues. Selon le journal publié,
“SourceDNA a créé une empreinte différentielle à partir d’eux pour trouver le code vulnérable. Considérez cela comme un ensemble de caractéristiques uniques présentes ou absentes uniquement dans la version ciblée et non les autres avant ou après celle-ci. Avec cet ensemble de signatures, notre moteur d'analyse nous indiquait exactement quelle version d'AFNetworking était utilisée dans chaque application.. “
Un grand nombre des applications concernées stockent et transmettent des données de carte de crédit utilisateur, notamment l'application mobile Alibaba.com, KYBankAgent 3.0 et le point de vente Revo Restaurant. Plusieurs millions d'utilisateurs ont une application vulnérable installée sur leur appareil iOS - une quantité étonnante d'exposition d'un bogue aussi bref.
“5% ou environ 1 000 applications avaient la faille. Ces applications sont-elles importantes? Nous les avons comparés à nos données de classement et avons trouvé de gros joueurs: Yahoo !, Microsoft, Uber, Citrix, etc. Cela nous étonne qu'une bibliothèque open source qui introduit une faille de sécurité pour seulement 6 semaines des millions des utilisateurs à attaquer.”
Evaluation de l'impact du bogue AFNetworking
Quelle est la gravité de cette vulnérabilité? Le bogue permet aux attaquants de duper les applications en leur faisant croire qu'elles communiquent via une connexion sécurisée avec un serveur de confiance. Si vous utilisez une application vulnérable, n'importe qui sur le même réseau Wi-Fi que vous pouvez configurer une attaque de type homme au milieu Qu'est-ce qu'une attaque de type Man-in-the-Middle? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type homme au milieu? Le jargon de la sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. Lire plus et intercepter les informations des applications, y compris les données sensibles telles que les informations de carte de crédit. Ces informations pourraient ensuite être utilisées pour faciliter le vol d’identité. 6 signes avant-coureurs du vol d’identité numérique que vous ne devriez pas ignorer 6 signes avant-coureurs du vol d’identité numérique que vous ne devriez pas ignorer Le vol d’identité n’est pas un événement rare de nos jours. tomber dans le piège de penser que cela va toujours arriver à "quelqu'un d'autre". Ne pas ignorer les signes avant-coureurs. Lire la suite et autres formes de fraude. Potentiellement, ce type d’attaque pourrait être automatisé pour cibler des applications populaires..
Un certain nombre de sociétés ont publié des mises à jour et des correctifs depuis l'annonce de l'annonce, y compris Microsoft et Yahoo. La plupart des applications, cependant, restent non corrigées. Pour savoir si les applications que vous utilisez sont affectées, vous pouvez utiliser l'outil de recherche SourceDNA. Si vous découvrez qu'une de vos applications est toujours vulnérable, la stratégie la plus sûre consiste à la supprimer temporairement et envoyez un message aux développeurs pour leur demander de publier un correctif dès que possible..
SourceDNA est un outil intelligent, ce qui démontre que leur technologie est réellement utile. La sécurité informatique est difficile, et un outil capable d'automatiser le processus de recherche de bogues non corrigés - avec ou sans la coopération de développeurs - constitue un avantage considérable pour la sécurité des utilisateurs. Sans ce type de vérification, ce bug généralisé aurait persisté, probablement pendant assez longtemps. Ce type d’analyse permet de faire honte au grand public, ce qui rend les développeurs beaucoup plus responsables, et il semble probable que SourceDNA détecte de nouveaux problèmes non détectés et non résolus..
Votre appareil iOS est-il affecté par le bogue AFNetworking?? Êtes-vous enthousiasmé par ces nouveaux outils d'analyse? Faites le nous savoir dans les commentaires!
Crédits image: “Cyberwarfare de la marine américaine,” “iPhone avant, “caméra iPhone“, par Wikimedia
En savoir plus sur: la sécurité informatique, iOS, atteinte à la sécurité, sécurité pour smartphone.