Infos

AFNetworking pour iOS et OS X n’est plus vulnérable aux attaques de l’homme du milieu

La bibliothèque réseau pour iOS et OS X utilisée dans des applications telles que Pinterest et Simple était vulnérable aux attaques de l’homme du milieu sur SSL.

Le développeur de AFNetworking a publié la semaine dernière un correctif qui élimine cette vulnérabilité.

Cette vulnérabilité existe depuis plus de deux mois et il aura fallu que les utilisateurs de Github et Simone Bovi et Mauro Gentile, deux chercheurs de la société Minded Security, contactent le développeur à plusieurs reprises avant que celui-ci ne se décide à résoudre le problème. Simone Bovi et Mauro Gentile ont été confronté à cette vulnérabilité au début du mois de mars alors qu’ils réalisaient une étude de sécurité d’une application mobile pour un de leurs clients.

Après avoir analysé le code de l’application, les chercheurs ont découvert que la validation du certificat SSL et la vérification de la confiance étaient désactivées dans la bibliothèque, ce qui permettait d’intercepter le trafic SSL via un service proxy comme Burp Suite.

Peu de temps après la correction du problème, Simone Bovi écrivait dans un blog : "Il nous a suffit de quelques minutes pour comprendre que la vérification de la confiance des certificats SSL contenait un bogue logique qui pouvait déboucher sur la désactivation complète de la validation du certificat SSL".

Simone Bovi et Mauro Gentile ont découvert que le problème avait déjà été mentionné dans un message publié au début du mois de février sur le forum de Github et que la vulnérabilité était liée à un problème présent dans la version 2.5.1 de la bibliothèque diffusée à la fin du mois de janvier. Et un autre billet plus détaillé sur Github a permis de comprendre un peu mieux la situation.

Un utilisateur de Github, écrivant sous le pseudo de duttski, déclarait alors : "Je confirme que dans ce cas, un serveur proxy malveillant peut écouter tout le contenu du canal HTTPS". Il avait ensuite développer un correctif temporaire jusque la publication de la solution du développeur.

Matt Thompson, le développeur iOS qui a créé et qui soutient AFNetworking a diffusé la version 2.5.1 qui a éliminé le problème en ajoutant la vérification et une validation stricte par défaut, comme on peut le lire dans les notes de version de la bibliothèque.

Cette bibliothèque est un élément clé dans des applications de réseau sociales très utilisées sous OS X et iOS comme Vine et Pinterest. Cet environnement est également utilisé dans des applications et des services utilisés par des développeurs d’application et des créateurs d’interface utilisateur comme Heroku et Parse.

Source :        https://threatpost.com/ios-os-x-library-afnetwork-patches-mitm-vulnerability/111870

AFNetworking pour iOS et OS X n’est plus vulnérable aux attaques de l’homme du milieu

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception