Selon un expert fiable en sécurité mobile, des dizaines d'applications iOS populaires sont vulnérables à la diffusion de vos données sensibles par le biais d'attaques silencieuses de type "man-in-the-middle".
Au cours des tests, Will Strafach, l'un des premiers à pirater la plate-forme iOS, a trouvé 76 applications coupables d'avoir accepté des certificats invalides pouvant être utilisés pour intercepter des données.
Strafach est maintenant le PDG de Sudo Security Group, une société spécialisée dans les solutions de sécurité d'entreprise pour iOS. Tout en développant le dernier outil de l'entreprise, un service d'analyse d'applications, Strafach a scanné le code des applications iOS "en masse" pour rechercher des problèmes courants.
Il est tombé sur des "centaines" d'applications iOS qui ont une forte probabilité de vulnérabilité à l'interception de données. Avec d'autres tests, Strafach a confirmé que 76 d'entre eux pourraient être piratés à l'aide d'un certificat TLS invalide.
Certaines des applications qui sont vulnérables mais présentent un faible risque pour les utilisateurs finaux si leurs données sont interceptées sont Snap Upload pour Snapchat, VICE News, Trading 212 Forex & Stocks, Private Browser, Cheetah Browser et Code Scanner par ScanLife.
Strafach a également identifié des applications vulnérables qui présentent un risque moyen ou élevé pour les utilisateurs finaux, mais il donne à leurs développeurs la possibilité de les corriger avant de publier la liste dans 60 à 90 jours.
Ce qui est inquiétant à propos de ces vulnérabilités, c'est qu'elles sont bloquées par la fonctionnalité App Transport Security intégrée à iOS. De plus, "ce type d'attaque peut être mené par n'importe quelle partie à portée Wi-Fi de votre appareil pendant son utilisation", explique Strafach.
« Cela peut être n'importe où en public, ou même à l'intérieur de votre maison si un attaquant peut s'approcher de près. Une telle attaque peut être menée à l'aide d'un matériel personnalisé ou d'un téléphone mobile légèrement [sic] modifié, en fonction de la portée et des capacités requises. »
Dans le passé, la même vulnérabilité a été identifiée dans les applications iOS d'Exsperian, Trend Micro, Citrix, Dell, Kaspersky et PayPal. Cependant, on pense que ces problèmes ont maintenant été résolus et qu'aucune de ces applications n'est vulnérable aujourd'hui.
Seuls les développeurs d'applications peuvent résoudre ce problème; Apple ne peut rien faire de son côté pour combler les trous. Cependant, Strafach dit qu'il est facile d'éviter une attaque en utilisant simplement une connexion cellulaire au lieu du Wi-Fi lors de l'utilisation d'une application vulnérable.
