1 500 applications iOS sont vulnérables à une faille de sécurité

Nous avons effectué une recherche parmi les applications les plus couramment téléchargées dans l'App Store et avons constaté que très peu d'applications gratuites et payantes les plus populaires sont encore affectées par le bug. Quoi qu’il en soit, il est préférable de vérifier si vos applications sont vulnérables et d’apprendre à vous protéger.

Voici tout ce que vous devez savoir.

Voici comment les pirates exploitent la faille

Selon le entreprise de sécurité, environ deux millions de personnes ont installé des applications qui souffrent de la vulnérabilité paralysante HTTPS. Les applications incluent Citrix OpenVoice Audio Conferencing, l’application mobile d’Alibaba, Movies by Flixster with Rotten Tomatoes, KYBankAgent 3.0 et Revo Restaurant Point of Sale, entre autres. Les chercheurs tentent de garder secrète la liste complète des applications afin d’éviter d’ouvrir les utilisateurs iOS à davantage de pirates informatiques qui utiliseraient la vulnérabilité à des fins néfastes. Cependant, sur son site Internet, SourceDNA propose un outil aux développeurs afin qu'ils puissent vérifier si leurs applications sont sûres.

Le des chercheurs a découvert que la vulnérabilité provenait d'un problème dans une ancienne version d'une bibliothèque de code open source appelée AFNetworking, qui permet aux développeurs d'ajouter des fonctionnalités réseau à leurs applications. AFNetworking a résolu le problème il y a environ trois semaines et de nombreux développeurs ont déjà mis à jour leurs applications iOS pour combler le trou, mais au moins 1 500 applications iOS sont toujours vulnérables. Parmi les entreprises qui ont déjà corrigé la faille figurent Yahoo, Uber et Microsoft.

Vos applications iOS présentent-elles la faille de validation SSL AFNetworking, exposant les informations de vos utilisateurs? Découvrez-le ici! http://t.co/Y4cwr9vwXb

- SourceDNA (@SourceDNA) 20 avril 2015

SourceDNA a expliqué dans un article de blog que toute application utilisant encore l'ancienne version du Le code AFNetworking est vulnérable aux attaques de l'homme du milieu qui permettent aux pirates de déchiffrer Données cryptées HTTPS. Voici comment cela fonctionne: les pirates informatiques qui souhaitent exploiter la faille sautent simplement sur le réseau Wi-Fi d’un café pour surveiller l’appareil ciblé. Les pirates envoient ensuite à l’appareil un certificat frauduleux de couche de sockets sécurisés. En règle générale, l'appareil se rend compte que le certificat est faux et interrompt immédiatement la connexion. Cependant, les appareils dotés d'applications exécutant l'ancienne version du code AFNetworking présentent une erreur logique qui permet au faux certificat de passer sans contrôle de sécurité.

La raison pour laquelle le contrôle n'est jamais effectué par ces applications est que la version 2.5.1 d'AFNetwork ne propose pas l'épinglage de certificat, qui garantit que les applications utilisent un certificat spécifique pour l'authentification HTTPS et chiffrement. L’absence de ce contrôle de sécurité supplémentaire laisse les applications concernées complètement ouvertes aux pirates. Maintenant que SourceDNA a révélé publiquement la vulnérabilité, les développeurs d’applications vont probablement tenter de corriger la faille, mais cela pourrait prendre du temps.

Voici comment vous protéger

D'après le rapport, il semble que les pirates doivent cibler votre appareil en utilisant des réseaux Wi-Fi publics comme ceux que l'on trouve dans les cafés et les magasins. Tout réseau Wi-Fi non fiable doit être évité pour le moment. Vous pouvez également désactiver l’actualisation des applications en arrière-plan sur votre iPhone ou iPad afin que les applications n’essaient pas de se connecter aux réseaux ouverts.

Si vous craignez que votre iPhone ou iPad héberge des applications concernées, vous pouvez vérifiez vos applications en utilisant l’outil de SourceDNA. Vous devez également mettre à jour toutes vos applications au cas où les développeurs concernés auraient déjà publié une mise à jour pour corriger le trou. Vous pouvez mettre à jour vos applications en accédant à l'application App Store et en accédant à l'onglet Mises à jour dans le coin inférieur droit.

Nous avons utilisé l'outil de SourceDNA pour rechercher une poignée d'applications populaires sur l'App Store afin de voir lesquelles sont affectées par le bug. Nous avons constaté que la grande majorité des applications figurant dans le top 100 des applications gratuites de l’App Store sont sûres. Nous avons également vérifié une poignée d’applications les plus payantes et n’en avons trouvé que très peu concernées.

Comme vous pouvez le constater, le nombre d’applications concernées qui sont populaires est en réalité très faible, et ce nombre continue de diminuer à mesure que les entreprises effectuent des mises à jour. Bien que 1 500 applications semblent être un nombre énorme, compte tenu des millions d’applications disponibles sur l’App Store, la réalité est bien plus petite que vous ne le pensez. Néanmoins, il vaut mieux prévenir que guérir, alors consultez vos applications ici.

Recommandations des rédacteurs

• 17 fonctionnalités cachées d'iOS 17 que vous devez connaître
• 11 fonctionnalités d'iOS 17 que j'ai hâte d'utiliser sur mon iPhone
• iOS 17 n'est pas la mise à jour iPhone que j'espérais
• Tout ce qu'Apple n'a pas ajouté à iOS 17
• Mon iPhone recevra-t-il iOS 17? Voici tous les modèles pris en charge

Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.