Près de 1500 applications iOS présentent une vulnérabilité qui peut permettre l'interception de données sensibles des utilisateurs

1500 applications pour iPhones et iPads sont vulnérables aux attaques de type Man-in-the-Middle (MiTM)

Si vous utilisez un iPhone/iPad ou un iPod, vous devriez vous inquiéter car des chercheurs en sécurité ont découvert qu’environ 1 500 applications pour iPhone et iPad contiennent une vulnérabilité HTTPS qui peut être exploitée par des hackers pour effectuer des attaques de type man-in-the-middle (MiTM) afin de voler des mots de passe, des coordonnées bancaires et d’autres informations privées des utilisateurs.

La vulnérabilité dans la bibliothèque de code AFNetworking qui permet aux hackers d’effectuer les attaques MiTM a été révélée par SourceDNA. Cult of Mac rapporte que l’ancienne version de la bibliothèque de code AFNetworking avait la vulnérabilité et a été corrigée dans la version 2.5.2, mais plusieurs développeurs d’applications n’ont pas mis à jour leurs applications, les laissant ouvertes à l’attaque.

SourceDNA a scanné environ 1,4 million d’applications disponibles sur l’App Store d’Apple et a découvert qu’environ 1 500 applications n’avaient pas été mises à jour vers la dernière version de la bibliothèque de code AFNetworking. Bien que ce nombre soit relativement faible par rapport au total des applications disponibles sur l’App Store, même une seule application non corrigée pourrait permettre aux cybercriminels de mener une attaque MiTM à des fins malveillantes.

En général, un faux certificat de couche de socket sécurisé serait détecté, provoquant une coupure instantanée de la connexion, mais les chercheurs ont découvert qu’en raison d’une erreur logique dans le code, un contrôle de validation n’est pas effectué. Cela signifie que des certificats frauduleux sont approuvés par les applications exécutant la version 2.5.1 d’AFNetworking.

« Le problème se produit même lorsque l’application mobile demande à la bibliothèque d’appliquer des vérifications pour la validation du serveur dans les certificats SSL », ont écrit les chercheurs. « Nous avons testé l’application sur un appareil réel et, de manière inattendue, nous avons constaté que tout le trafic SSL pouvait être régulièrement intercepté via un proxy comme Burp sans aucune intervention ! »

Ars Technica rapporte que plusieurs applications, y compris Citrix OpenVoice Audio Conferencing, l’application mobile Alibababa, Movies by Flixster avec Rotten Tomatoes, KYBankAgent 3.0 et Revo Restaurant Point of Sale, utilisaient toujours la version vulnérable d’AFNetworking, mais la plupart des applications courantes utilisées par les utilisateurs d’iPhone/iPad et les applications de Microsoft, Yahoo et Uber ont été corrigées suite à une divulgation privée aux développeurs.