76 applications Ios sont vulnérables à l'interception silencieuse de données

Verify.ly, un service qui analyse le code binaire d'une application iOS pour détecter les problèmes de sécurité liés à l'application, a révélé que 76 applications iOS avec un total de 18 millions de téléchargements ne sont pas protégées contre l'interception silencieuse de données protégées par TLS.

Lors du test, les 76 applications, y compris plusieurs applications VPN, des applications de navigateur ainsi que la célèbre application Vice News, se sont révélées vulnérables à une attaque silencieuse interceptant les données des utilisateurs.

La faille de sécurité permet à un attaquant d'intercepter et de manipuler facilement les données de l'utilisateur.

«Notre système a identifié des centaines d'applications comme présentant une forte probabilité de vulnérabilité à l'interception de données. J'ai pu confirmer pleinement (vulnérabilités des applications) à l'aide d'un iPhone en direct sous iOS 10 et d'un proxy 'malveillant' pour insérer un certificat TLS non valide dans la connexion pour le tester », a écrit Will Strafach, fondateur de Verify.ly.

Le rapport a révélé que 33 de ces applications iOS vulnérables appartenaient au groupe à faible risque, 24 au groupe à risque moyen et 19 au groupe à risque élevé.

Alors que le groupe d'applications à faible et moyen risque n'était pas vulnérable à l'interception de données utilisateur confidentielles pouvant être dommageables, 19 des applications à haut risque étaient considérées comme très vulnérables à la retransmission des informations d'identification de connexion aux services financiers ou médicaux.

La plupart des gens soutiendraient que de telles attaques nécessitent que votre appareil soit connecté à la même connexion Internet - généralement une connexion Wi-Fi publique - que celle de l'attaquant, mais ce n'est pas tout à fait vrai.

«En réalité, ce type d’attaque peut être mené par n’importe quelle partie de la zone de couverture Wi-Fi de votre appareil en cours d’utilisation. Cela peut être n'importe où en public, ou même chez vous, si un attaquant peut se trouver à portée de main », ajoute Strafach.

Ce n'est pas la première fois que ce type de vulnérabilité est découvert dans les applications iOS. Pour en nommer quelques-unes, les applications iOS telles que Kaspersky Safe Browser, Experian et Dell SecureWorks présentaient des problèmes de vulnérabilité similaires.

«De nombreux problèmes de ce type résultent d’un développeur d’application qui ne comprend pas parfaitement le code qu’ils ont emprunté sur le Web», a-t-il ajouté.

Le rapport souligne également que pour sécuriser les informations confidentielles, il est recommandé d'éteindre votre réseau Wi-Fi et d'utiliser des données cellulaires tout en vous connectant à votre compte bancaire pour effectuer une transaction ou de vérifier votre solde, les connexions Internet cellulaires étant relativement plus difficiles à pirater.