Des dizaines d’apps pour iPhone vulnérables à des attaques man-in-the-middle

 

Des douzaines d’applications populaires sous iOS sont vulnérables à des attaques qui pourraient permettre à des hackers d’intercepter et voler des données chiffrées potentiellement sensibles.

Selon l’étude, dont les conclusions ont été publiées sur un blog lundi 6 février, les apps vulnérables pourraient concerner au moins jusqu’à 18 millions de terminaux.

Parmi les 33 apps nommées, Uconnect Access peut ainsi laisser fuiter identifiants et mots de passe, autorisant un attaquant à interférer avec le véhicule de l’utilisateur. Huawei HiLink permet la fuite de données du terminal; et données de géolocalisation et même frappes clavier peuvent être interceptées auprès des utilisateurs de Cheetah Browser.

Plus de 40 apps ont été confirmées comme présentant un risque moyen ou élevé d’attaque de type man-in-the-middle, ave la possibilité pour un pirate d’intercepter des données d’accès à des services financiers ou médicaux.

L’identité de ces applications vulnérables n’est pas communiquée pour le moment afin d’accorder un délai suffisant – soit 2 à 3 mois – aux éditeurs pour corriger la vulnérabilité en cause.

Aux développeurs de corriger, pas à Apple

Strafach, dont l’entreprise intervient notamment dans le domaine de la sécurité mobile, déclare que les utilisateurs des apps sont plus exposés lors d’une connexion en Wi-Fi.

« L’interception cellulaire est plus difficile, exige un matériel coûteux, est beaucoup plus visible, et est tout à fait illégale (aux États-Unis) » commente-t-il.

Du code sur le volet réseau mal implémenté par les développeurs d’applications signifie que l’application acceptera n’importe quel certificat pour établir une connexion chiffrée selon Will Strafach, directeur général de Sudo Security Group (verify.ly).

Un attaquant à proximité d’un périphérique vulnérable pourrait tromper l’application en acceptant leur certificat, ce qui leur permet de siphonner toutes les données vers et à partir de l’application.

En fait, la fonctionnalité de sécurité d’Apple ne bloque pas le certificat de l’attaquant, car celui-ci y voit une connexion chiffrée valide.

Et ce n’est pas comme si Apple pouvait aider, a déclaré Strafach. Si la société devait bloquer la faille de sécurité, cela pourrait rendre les applications iPhone et iPad moins sécurisées, car les applications remplaceraient l’affectation des certificats, une fonctionnalité de sécurité qui empêche l’emprunt d’identité à l’aide de certificats frauduleux.

« Le fardeau repose uniquement sur les développeurs d’applications eux-mêmes qui doivent s’assurer que leurs applications ne sont pas vulnérables » juge l’expert.