Toujours plus de 1 000 applis iOS vulnérables à un bogue HTTPS

Mi mars, FireEye publiait les résultats de son analyse sur la vulnérabilité des applis mobiles pour iOS et Android aux failles de sécurité de type HTTPS. Elle trouvait que des milliers d’applis étaient toujours vulnérables, en dépit de correctifs de sécurité publiés et mis à disposition par des éditeurs comme Apple, Google et Microsoft.

Fin mars, Minded Security Research Labs trouvait une faille de sécurité dans la version 2.5.1 de la librairie libre AFNetworking qui permettait de lancer des attaques de l’homme du milieu. Une erreur de logique avait pour conséquence que la librairie réseau ne vérifiait pas les certificats SSL.

Comme AFNetworking est l’une des librairies réseau les plus utilisées sur les systèmes Mac OS X et iOS, le problème pouvait affecter des millions d’utilisateurs.

Un correctif de sécurité était mis à disposition dès le 27 mars 2015 dans la version 2.5.2.

SourceDNA a scanné récemment la majeure partie du 1,4 million d’applis disponibles sur l’App Store, en a trouvé 100 000 utilisant la librairie AFNetworking.

20 000 avaient été mises à disposition ou mises à jour après que le code dangereux a été disponible.

Sur ces applis, 55 % utilisaient une version ancienne mais sans le bogue, 40 % n’utilisaient pas la partie de la libraire contenant le bogue, et 5 % avaient la vulnérabilité.

Il y a donc toujours environ 1 000 applis dangereuses. La plupart des grands noms comme Yahoo, Microsoft, Citrix, Uber etc. ont depuis corrigé leurs applis.

Mais six semaines après la mise à disposition d’un correctif, près d’un millier d’applis mettent toujours en danger des millions d’utilisateurs.

Pour limiter les attaques, SourceDNA n’a pas publié la liste des applis vulnérables. Elle propose toutefois depuis peu un outil de détection d’applis vulnérables mis gracieusement à disposition des utilisateurs iOS.