Publicité
SourceDNA, une plateforme d'analyse de code qui audite les applications Android et iOS, a récemment publié un rapport indiquant que plus de 1 000 applications iOS présentent une grave vulnérabilité de sécurité qui pourrait compromettre les finances d'un utilisateur détails.
Le bogue empêche les applications de s'authentifier correctement Certificats SSL Qu'est-ce qu'un certificat SSL et en avez-vous besoin?La navigation sur Internet peut être effrayante lorsque des informations personnelles sont impliquées. Lire la suite , ouvrant les applications à un certain nombre d'attaques d'homme au milieu. Bien que cette application n'affecte pas la la sécurité d'iOS lui-même Sécurité des smartphones: les iPhones peuvent-ils obtenir des logiciels malveillants?Les logiciels malveillants affectant des "milliers" d'iPhones peuvent voler les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement en sécurité - alors quel est le problème avec iOS et les logiciels malveillants? Lire la suite
, cela pourrait compromettre les données des utilisateurs transmises via les applications concernées…Un bug simple qui brise SSL
le bug en question est dans le package AFNetworking, une solution de réseau open source populaire utilisée dans des milliers d'applications App Store. Le bogue est une simple erreur logique qui empêche la vérification SSL d'avoir lieu, renvoyant toutes les vérifications de certificats comme valides. Ce n'est pas un désastre de sécurité massif comme HeartBleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite ou ShellShock Pire que Heartbleed? Découvrez ShellShock: une nouvelle menace de sécurité pour OS X et Linux Lire la suite - mais c'est un problème si vous utilisez une application contenant le bug. Heureusement, le bogue n'existait que depuis environ six semaines, ajouté en 2.5.1 et corrigé en 2.5.2. Vous pourriez raisonnablement supposer que c'est la fin de l'histoire.
Malheureusement non.
Malheureusement, de nombreux développeurs ne tiennent pas activement leurs applications à jour avec les corrections de bogues, et il existe un tas d'applications qui utilisent toujours la version cassée d'AFNetworking, malgré la disponibilité d'un pièce. SourceDNA a analysé 20 000 applications qui contiennent des versions du package AFNetworking et a déterminé qu'environ 1 000 utilisent toujours la vérification SSL rompue.
SourceDNA a pu effectuer cette vérification en utilisant des outils d'analyse qui permettent d'analyser les fichiers binaires de milliers d'applications. Leur technologie leur permet d'identifier non seulement les bibliothèques avec lesquelles ces applications ont été compilées, mais versions de ces bibliothèques. Il s'avère que cela est incroyablement utile pour identifier les applications susceptibles d'être affectées par des bogues et des vulnérabilités connues. Selon le document publié,
«SourceDNA a créé une empreinte différentielle à partir d'eux pour trouver le code vulnérable. Considérez cela comme un ensemble de caractéristiques uniques qui étaient présentes ou absentes uniquement dans la version ciblée et pas d'autres avant ou après. Avec cet ensemble de signatures, notre moteur d'analyse nous dirait exactement quelle version d'AFNetworking était utilisée dans chaque application. “
De nombreuses applications concernées stockent et transmettent les données des cartes de crédit des utilisateurs, y compris le Application mobile Alibaba.com, KYBankAgent 3.0, et Revo Restaurant Point de vente. Plusieurs millions d'utilisateurs ont une application vulnérable installée sur leur appareil iOS - une quantité étonnante d'exposition à partir d'un si bref bug.
"5% ou environ 1 000 applications avaient le défaut. Ces applications sont-elles importantes? Nous les avons comparés à nos données de classement et avons trouvé de grands acteurs: Yahoo!, Microsoft, Uber, Citrix, etc. Il nous étonne qu'une bibliothèque open-source qui a introduit une faille de sécurité pour seulement 6 semaines exposées des millions d'utilisateurs à attaquer. "
Évaluer l'impact de la AFNetworking Bug
Quelle est la gravité de cette vulnérabilité? Le bogue permet aux attaquants de tromper les applications en leur faisant croire qu'elles communiquent via une connexion sécurisée avec un serveur de confiance. Si vous utilisez une application vulnérable, toute personne sur le même réseau WiFi que vous peut configurer un attaque de l'homme du milieu Qu'est-ce qu'une attaque d'homme au milieu? Explication du jargon de sécuritéSi vous avez entendu parler d'attaques de type "homme du milieu" mais que vous n'êtes pas sûr de ce que cela signifie, cet article est pour vous. Lire la suite et intercepter les informations des applications, y compris les données sensibles comme les informations de carte de crédit. Ces informations pourraient ensuite être utilisées pour faciliter vol d'identité 6 signes d'avertissement de vol d'identité numérique que vous ne devriez pas ignorerLe vol d'identité n'est pas trop rare de nos jours, mais nous tombons souvent dans le piège de penser qu'il arrivera toujours à «quelqu'un d'autre». N'ignorez pas les panneaux d'avertissement. Lire la suite et d'autres formes de fraude. Potentiellement, ce type d'attaque pourrait être automatisé pour cibler des applications populaires.
Un certain nombre d'entreprises ont précipité les mises à jour et les correctifs depuis le début de l'actualité, notamment Microsoft et Yahoo. Cependant, la plupart des applications ne sont pas corrigées. Pour voir si les applications que vous utilisez sont affectées, vous pouvez utiliser l'outil de recherche SourceDNA. Si vous découvrez qu'une de vos applications est toujours vulnérable, la stratégie la plus sûre consiste à la supprimer temporairement et à envoyer un message aux développeurs leur demandant de mettre un correctif le plus tôt possible.
SourceDNA est un outil intelligent, et cela démontre que leur technologie est vraiment utile. La sécurité informatique est difficile, et un outil qui peut automatiser le processus de recherche de bogues non corrigés - avec ou sans la coopération des développeurs - est une énorme victoire pour la sécurité des utilisateurs. Sans ce type de vérification, ce bogue répandu aurait persisté, probablement pendant assez longtemps. Ce type d'analyse permet une honte publique de masse qui rend les développeurs beaucoup plus responsables, et il semble probable que SourceDNA découvrira d'autres problèmes non détectés et non résolus.
Votre appareil iOS est-il affecté par le bogue AFNetworking? Êtes-vous enthousiasmé par ces nouveaux outils d'analyse? Faites le nous savoir dans les commentaires!
Crédits image: "Cyber-guerre de l'US Navy, "" Face avant de l'iPhone ",appareil photo iPhone", Par Wikimedia
Écrivain et journaliste basé dans le sud-ouest, André est assuré de rester fonctionnel jusqu'à 50 degrés Celsius et est étanche jusqu'à une profondeur de douze pieds.