Joseph Goodman
0 
3634
513
SourceDNA, une plate-forme d'analyse de code qui vérifie les applications Android et iOS, a récemment publié un rapport indiquant que plus de 1 000 applications iOS présentaient une faille de sécurité grave qui pourrait compromettre les détails financiers d'un utilisateur..
Le bogue empêche les applications d'authentifier correctement les certificats SSL. Qu'est-ce qu'un certificat SSL et en avez-vous besoin d'un? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. , ouvrant les applications à un certain nombre d'attaques man-in-the-middle. Bien que cette application n'affecte pas la sécurité d'iOS lui-même Sécurité des téléphones intelligents: les iPhones peuvent-ils obtenir un logiciel malveillant? Les logiciels malveillants affectant des "milliers" d'iPhones peuvent dérober les informations d'identification de l'App Store, mais la majorité des utilisateurs d'iOS sont parfaitement sûrs. Alors, quel est le problème avec iOS et les logiciels non fiables? , cela pourrait compromettre les données des utilisateurs transmises via les applications affectées…
Un simple bug qui casse SSL
Le bogue en question se trouve dans le package AFNetworking, une solution réseau populaire à source ouverte utilisée dans des milliers d'applications App Store. Le bogue est une simple erreur de logique qui arrête la vérification SSL et renvoie toutes les vérifications de certificat comme valides. Ce n'est pas un désastre énorme en matière de sécurité comme HeartBleed Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? ou ShellShock Worse Than Heartbleed? Découvrez ShellShock: une nouvelle menace pour la sécurité d’OS X et de Linux pire que le chaos? Découvrez ShellShock: une nouvelle menace pour la sécurité sous OS X et Linux, mais le problème est que vous utilisez une application contenant le bogue. Heureusement, le bogue n’existait que depuis six semaines environ, ajouté dans la version 2.5.1 et corrigé dans la version 2.5.2. Vous pouvez raisonnablement supposer que c'est la fin de l'histoire.
Malheureusement non.
Malheureusement, de nombreux développeurs ne tiennent pas activement leurs applications à jour avec les corrections de bugs. De nombreuses applications utilisent encore la version défectueuse d'AFNetworking, malgré la disponibilité d'un correctif. SourceDNA a analysé 20 000 applications contenant des versions du package AFNetworking et a déterminé qu'environ 1 000 utilisaient encore le contrôle SSL rompu..
SourceDNA a pu effectuer cette vérification en utilisant des outils d’analyse qui permettent d’analyser les fichiers binaires de milliers d’apps. Leur technologie leur permet d’identifier non seulement les bibliothèques avec lesquelles ces applications ont été compilées, mais également celles qui les versions de ces bibliothèques. En fin de compte, cela est extrêmement utile pour identifier les applications susceptibles d'être affectées par des bogues et des vulnérabilités connues. Selon le journal publié,
“SourceDNA a créé une empreinte différentielle pour trouver le code vulnérable. Considérez cela comme un ensemble de caractéristiques uniques présentes ou absentes uniquement dans la version ciblée et non les autres avant ou après celle-ci. Avec cet ensemble de signatures, notre moteur d'analyse nous indiquait exactement quelle version d'AFNetworking était utilisée dans chaque application.. “
La plupart des applications concernées stockent et transmettent des données de carte de crédit, notamment l'application mobile Alibaba.com, KYBankAgent 3.0 et le point de vente Revo Restaurant. Plusieurs millions d'utilisateurs ont une application vulnérable installée sur leur appareil iOS - une quantité étonnante d'exposition d'un bogue aussi bref.
“5% ou environ 1 000 applications avaient la faille. Ces applications sont-elles importantes? Nous les avons comparés à nos données de classement et avons trouvé de gros joueurs: Yahoo !, Microsoft, Uber, Citrix, etc. Il est étonnant qu'une bibliothèque à code source ouvert introduisant une faille de sécurité pendant seulement 6 semaines des millions des utilisateurs à attaquer.”
Evaluation de l'impact du bogue AFNetworking
Quelle est la gravité de cette vulnérabilité? Le bogue permet aux attaquants de duper les applications en leur faisant croire qu'elles communiquent via une connexion sécurisée avec un serveur de confiance. Si vous utilisez une application vulnérable, n'importe qui sur le même réseau Wi-Fi que vous pouvez configurer une attaque de type homme au milieu Qu'est-ce qu'une attaque de type Man-in-the-Middle? Le jargon de la sécurité a expliqué Qu'est-ce qu'une attaque de type "homme du milieu"? Le jargon de sécurité expliqué Si vous avez entendu parler d'attaques de type "homme au milieu" mais que vous n'êtes pas certain de ce que cela signifie, cet article est pour vous. et intercepter les informations des applications, y compris les données sensibles telles que les informations de carte de crédit. Ces informations pourraient ensuite être utilisées pour faciliter le vol d’identité. 6 signes avant-coureurs du vol d’identité numérique que vous ne devriez pas ignorer 6 signes avant-coureurs du vol d’identité numérique tomber dans le piège de penser que ça va toujours arriver à "quelqu'un d'autre". Ne pas ignorer les signes avant-coureurs. et d'autres formes de fraude. Potentiellement, ce type d’attaque pourrait être automatisé pour cibler des applications populaires..
Un certain nombre de sociétés ont publié des mises à jour et des correctifs depuis l'annonce de l'annonce, y compris Microsoft et Yahoo. La plupart des applications, cependant, restent non corrigées. Pour savoir si les applications que vous utilisez sont affectées, vous pouvez utiliser l'outil de recherche SourceDNA. Si vous découvrez qu'une de vos applications est toujours vulnérable, la stratégie la plus sûre consiste à la supprimer temporairement et envoyez un message aux développeurs pour leur demander de publier un correctif dès que possible..
SourceDNA est un outil intelligent, ce qui démontre que leur technologie est réellement utile. La sécurité informatique est difficile, et un outil capable d'automatiser le processus de recherche de bogues non corrigés - avec ou sans la coopération de développeurs - constitue un avantage considérable pour la sécurité des utilisateurs. Sans ce type de vérification, ce bug généralisé aurait persisté, probablement pendant assez longtemps. Ce type d’analyse permet de faire honte au grand public, ce qui rend les développeurs beaucoup plus responsables, et il semble probable que SourceDNA détecte de nouveaux problèmes non détectés et non résolus..
Votre appareil iOS est-il affecté par le bogue AFNetworking?? Êtes-vous enthousiasmé par ces nouveaux outils d'analyse? Faites le nous savoir dans les commentaires!
Crédits image: “Cyberwarfare de la marine américaine,” “iPhone avant, “caméra iPhone“, par Wikimedia