AFNetworking pour iOS et OS X n’est plus vulnérable aux attaques de l’homme du milieu

La bibliothèque réseau pour iOS et OS X utilisée dans des applications telles que Pinterest et Simple était vulnérable aux attaques de l’homme du milieu sur SSL.

Le développeur de AFNetworking a publié la semaine dernière un correctif qui élimine cette vulnérabilité.

Cette vulnérabilité existe depuis plus de deux mois et il aura fallu que les utilisateurs de Github et Simone Bovi et Mauro Gentile, deux chercheurs de la société Minded Security, contactent le développeur à plusieurs reprises avant que celui-ci ne se décide à résoudre le problème. Simone Bovi et Mauro Gentile ont été confronté à cette vulnérabilité au début du mois de mars alors qu’ils réalisaient une étude de sécurité d’une application mobile pour un de leurs clients.

Après avoir analysé le code de l’application, les chercheurs ont découvert que la validation du certificat SSL et la vérification de la confiance étaient désactivées dans la bibliothèque, ce qui permettait d’intercepter le trafic SSL via un service proxy comme Burp Suite.

Peu de temps après la correction du problème, Simone Bovi écrivait dans un blog : "Il nous a suffit de quelques minutes pour comprendre que la vérification de la confiance des certificats SSL contenait un bogue logique qui pouvait déboucher sur la désactivation complète de la validation du certificat SSL".

Simone Bovi et Mauro Gentile ont découvert que le problème avait déjà été mentionné dans un message publié au début du mois de février sur le forum de Github et que la vulnérabilité était liée à un problème présent dans la version 2.5.1 de la bibliothèque diffusée à la fin du mois de janvier. Et un autre billet plus détaillé sur Github a permis de comprendre un peu mieux la situation.

Un utilisateur de Github, écrivant sous le pseudo de duttski, déclarait alors : "Je confirme que dans ce cas, un serveur proxy malveillant peut écouter tout le contenu du canal HTTPS". Il avait ensuite développer un correctif temporaire jusque la publication de la solution du développeur.

Matt Thompson, le développeur iOS qui a créé et qui soutient AFNetworking a diffusé la version 2.5.1 qui a éliminé le problème en ajoutant la vérification et une validation stricte par défaut, comme on peut le lire dans les notes de version de la bibliothèque.

Cette bibliothèque est un élément clé dans des applications de réseau sociales très utilisées sous OS X et iOS comme Vine et Pinterest. Cet environnement est également utilisé dans des applications et des services utilisés par des développeurs d’application et des créateurs d’interface utilisateur comme Heroku et Parse.

Source :        https://threatpost.com/ios-os-x-library-afnetwork-patches-mitm-vulnerability/111870

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *