Connexion
Abonnez-vous

76 applications iOS vulnérables à cause d’une mauvaise implémentation de TLS

Par-dessus la jambe

76 applications iOS vulnérables à cause d'une mauvaise implémentation de TLS

Le 07 février 2017 à 13h30

Dans un rapport publié cette nuit, la société Sudo Security Group indique que des dizaines d’applications iOS implémentent mal certains paramètres de sécurité, fragilisant ainsi les connexions TLS. Ce malgré l'insistance d’Apple dans ce domaine.

Dans le rapport, on apprend ainsi que 76 applications n’ont pas correctement utilisé les technologies de sécurité à leur disposition. Dans l’intégralité des cas, les services en arrière-plan permettent à des attaques de type homme-du-milieu de récupérer des informations. Cependant, la sensibilité de ces dernières varie fortement.

76 applications ne vont pas jusqu'au bout

Will Strafach, président de Sudo Security, indique dans un billet de blog que les tests ont été effectués vie l’outil maison verify.ly, qui permet de déclencher des analyses statiques de masse sur les binaires des applications dans l’App Store. Selon lui, ces défauts de sécurité résultent tous d’un ou plusieurs bugs ouvrant la voie à des attaques silencieuses. Les 76 applications étant populaires, le danger est réel.

Ces tests ont été effectués en laboratoire, en utilisant finalement la même technique qu’un pirate dans ce type de cas. Sudo Security a en effet exploité l’un de ses propres certificats SSL et configuré un serveur pour qu’il apparaisse comme légitime. Le test a fonctionné à chaque fois. Comme indiqué cependant, le niveau d’indiscrétion peut largement changer d’une application à une autre.

Des simples données télémétriques aux informations sensibles

Ainsi, 33 de ces applications représentent un risque faible, les informations dévoilées étant globalement périphériques : télémétrie, adresse email, mais parfois aussi des identifiants. ooVoo, Volify, certaines applications complémentaires pour Snapchat ou encore Mico et Tencent Cloud font partie des noms cités.

24 représentent un niveau de risque moyen, l’attaquant pouvant notamment récupérer des jetons d’authentification et les identifiants d’utilisateurs actifs. Mais pour les 19 dernières, le risque est élevé. Les informations révélées peuvent ainsi être de type financier ou médical, les rendant particulièrement sensibles. Notez que pour ces deux catégories, Sudo ne donne aucun nom. Les éditeurs ont tous été avertis, le risque étant que des attaques aient lieu avant la mise à jour. Will Strafach a cependant promis de publier plus tard la liste exacte des identifiants CVE pour ces failles.

Notez tout de même que les attaques de type homme-du-milieu ne peuvent dans la plupart des cas avoir lieu que sur des réseaux ouverts, comme ceux des lieux publics. Bien qu’il soit techniquement possible de leurrer un appareil pour le faire se connecter à un tel réseau, les utilisateurs ont peu de risque d’être attaqués sur des réseaux Wi-Fi connus et sécurisés.

Après les connexions en clair, les mauvaises implémentations de TLS

Ars Technica, qui a refait les tests de son côté, corrobore les dires de Sudo Security. Pour nos confrères, ce type de faille n’a rien de nouveau, ni sur iOS, ni sur Android. Ils se disent cependant déconcertés, non seulement à cause de l’insistance d’Apple dans ce domaine, mais également parce que certaines applications manipulent des données particulièrement sensibles.

On remarquera bien sûr que la sécurité générale des applications a beaucoup évolué en quelques années. Nos confrères rappellent par exemple qu’il n’était pas rare encore en 2014 de voir des applications échanger des identifiants et des jetons de sessions en clair sur Internet. Il ne faudrait pas toutefois qu’une mauvaise implémentation de TLS prenne le relai.

Apple pousse ATS, mais il n'est toujours pas obligatoire

Rappelons également qu’Apple pousse de son côté à l’utilisation d’ATS (App Transport Security), fondé sur TLS 1.2 et chiffrant les connexions avec AES et SHA-2. Bien qu’ATS ait le mérite de mettre en avant TLS chez les éditeurs tiers, il n’aurait cependant pas pu faire de miracle dans le cas présent. Comme l’indique Ars Technica en effet, ATS rend (évidemment) obligatoire la présence d’un certificat, mais ne force pas les applications à le vérifier. En outre, Apple a repoussé en décembre la date butoir pour l'utilisation d'ATS, fixée initialement au 1er janvier.

Ce problème rappelle en tout cas le cas récent de la banque N26, dont l’application contenant plusieurs failles. L’une d’entre elles concernait justement la vérification du certificat, l’application ne s’assurant pas qu’elle communiquait avec un service authentique. Le souci est similaire, mais ATS ne rend obligatoire aucune technique ici, les développeurs étant libres de procéder comme ils le souhaitent, notamment par un épinglage de certificats.

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

76 applications iOS vulnérables à cause d’une mauvaise implémentation de TLS, la 4 ème vous surprendra

votre avatar

C’est bien beau d’épater la galerie avec de belles applications si c’est pour laisser la sécurité sur le carreau…



Espérons que les développeurs prendront la balle au bond suite à cette nouvelle.

votre avatar

Mais non c’est sur Android tous les problèmes…

votre avatar

@nick_t : Troll spotted.

votre avatar

à donf ^^’



c’est les … qui t’ont mis sur la voie ?

votre avatar

Dommage t’aurai pu en pêcher un ou deux mais wolf a tout péter

votre avatar

Excusez ma naiveté mais apple (ou google pour android) ont acces au code source ou juste au compilé?

S’il y ont accès comment justifient ils ce besoin?

votre avatar







Ghorghor Bey a écrit :



Dommage t’aurai pu en pêcher un ou deux mais wolf a tout péter





ça ressemblait quand même vachement plus à un sarcasme qu’à un troll, faut avouer


votre avatar

Tout le monde n’est pas picatrix

votre avatar







Ghorghor Bey a écrit :



Tout le monde n’est pas picatrix





bah j’ai envie de dire heureusement <img data-src=" />


votre avatar

De quel besoin parles tu ?

votre avatar

Si tout le monde étaient des picatrix le budget sword de NXI les conduiraient droit a la faillite.

votre avatar

Il est très rarement swordé, c’est ça qui est beau !

votre avatar

Il est rangé dans la section “divertissement” ?



<img data-src=" />

votre avatar

Uniquement au binaire chez Apple (J’en sais rien pour Google)

votre avatar

Bon ben je vais pouvoir changer d’OS sans perdre en fonctionnalités.

votre avatar

Sur android, c’est assez facile d’accéder aux sources à partir de l’appli

76 applications iOS vulnérables à cause d’une mauvaise implémentation de TLS

  • 76 applications ne vont pas jusqu'au bout

  • Des simples données télémétriques aux informations sensibles

  • Après les connexions en clair, les mauvaises implémentations de TLS

  • Apple pousse ATS, mais il n'est toujours pas obligatoire

Fermer