iOS

Un bug sur HTTPS peut affecter 25.000 applications iOS avec des données sensibles sur SSL

Au moins 25 000 applications disponibles dans iOS App Store contient une vulnérabilité critique qui pourrait paralyser complètement HTTPS et de voler ou de modifier des données sensibles.

Comme ce fut le cas avec une récente différentes vulnérabilités HTTPS qui ont touché 1 500 applications iOS, le bug réside dans AFNetworking, une bibliothèque de code open-source qui permet aux développeurs d’inclure les capacités de réseautage dans leurs applications IOS et OS X. Toute application qui en utilisant une version de AFNetworking avant la nouvelle version 2.5.3 pourrait avoir leurs données exposées aux pirates et pourrait être plus facile de surveiller et de changement, même si elle est protégée par le protocole Secure Sockets Layer (SSL), comme pour les transactions monétaires.

Secure Socket Layer (SSL)

Cette vulnérabilité pourrait être exploitée en utilisant un certificat SSL valide pour tout nom de domaine, aussi longtemps que les informations d’identification numérique a été délivré par une autorité de certification de confiance du navigateur.

Le résultat est que un attaquant avec un certificat valide peut intercepter ou de modifier une session SSL commencé par une application disposant de cette imparfaite bibliothèque. 
Le défaut est que le nom de domaine n’a pas vérifié dans CERT, même si le CERT est vérifié pour être sûr que Il a été valablement émis. Par exemple, je peux faire semblant d’être «microsoft.com» que par la présentation d’un cert valide.

On estime que le nombre d’applications iOS potentiellement affectées varie de 25 000 à un maximum de 50.000. 
SourceDNA fourni un outil de recherche gratuit que les utilisateurs finaux et les développeurs peuvent interroger pour voir si leurs applications sont vulnérables. 
Pour rendre plus difficile pour les attaquants d’exploiter la vulnérabilité, SourceDNA ne fournit pas une liste complète des applications vulnérables.

Une vérification rapide a révélé que plusieurs applications bacnhe comme Bank of America, Wells Fargo et JPMorgan Chase ont probablement été affectée, même si certains de ces rapports pourrait être faux positifs. 
Il est possible que certaines applications marquées SourceDNA utilisent du code ou des mesures personnalisées secondaire, tels que les certificats de brochage qui empêchent les attaques.

Utilisateurs d’IOS devraient immédiatement vérifier l’état d’une application qu’ils utilisent, surtout si les applications transmettent des numéros de comptes bancaires ou d’autres informations personnelles sensibles. 
Il peut exiger développeurs d’applications vulnérables à libérer une mise à jour qui comprend un AFNetworking fixe, afin que les utilisateurs devrait être préparé pour empêcher des versions vulnérables. 
L’erreur AFNetworking affecte uniquement les applications qui utilisent la bibliothèque de code.  L’appareil lui-même et d’autres applications, y compris le navigateur, ne sont pas affectés par la faille, même si une ou plusieurs applications sur l’appareil Ils sont vulnérables.