Infos

Applications mobiles pour Android et iOS toujours vulnérables à l’attaque FREAK

Dans le contexte de la divulgation récente d’uneš vulnérabilité importante dans OpenSSL, il existe encore des problèmes au niveau de plateformes et d’applications mobiles qui utilisent toujours de versions de cette bibliothèque de chiffrement vulnérables à l’attaque FREAK.

Le rapport publié par la société FireEye décrit une situation peu encourageante au niveau d’une vulnérabilité dans des applications iOS et Android qui ont été téléchargées plus de 6 milliards de fois au total. Et d’après les données de FireEye, la situation est restée inchangée même après la diffusion d’un correctif par Apple qui devait éliminer la vulnérabilité dans iOS.

"Même après l’application des correctifs pour Android et iOS, ces applications sont toujours vulnérables à FREAK lorsqu’elles se connectent à des serveurs qui acceptent le chiffre RSA_EXPORT" ont écrit les chercheurs Yulong Zhang, Hui Xue, Tao Wei et Zhaofeng Chen. "C’est la raison pour laquelle certaines applications iOS sont encore vulnérables à l’attaque FREAK, même après l’élimination de la vulnérabilité FREAK dans iOS 8.2 le 9 mars"

L’attaque FREAK est possible car les serveurs peuvent être forcés à utiliser des clés RSA de 512 bits, autorisées par le gouvernement des Etats-Unis pour l’exportation. Il s’agit d’un élément ancien qu’on croyait abandonné depuis longtemps par la majorité des clients. Un individu malintentionné, dans une position d’homme du milieu, peut intercepter le trafic chiffré et le déchiffrer à l’aide d’un ordinateur d’une puissance assez modeste. Une étude, publiée par le Royal Holloway de l’université de Londres, démontre l’existence de facteurs qui réduisent le temps et le coût des calculs.

FireEye a indiqué qu’elle avait analysé 11 000 applications dans Google Play, chacune d’entre elles ayant été téléchargée au moins un million de fois, et a identifié 1 228 applications exposées à un risque en raison de l’utilisation d’une version vulnérable de la bibliothèque OpenSSL lors de la connexion à un serveur vulnérable. 664 de ces applications utilisaient une bibliothèque OpenSSL livrée avec Android, tandis que 564 d’entre elles utilisaient une bibliothèque compilée séparément.

D’après les données de FireEye, la situation est moins grave du côté d’iOS : sur 14 000 applications analysées, 771 se connectaient à des serveurs HTTPS vulnérables.

Les chercheurs ont indiqué que ces "applications étaient vulnérables à l’attaque FREAK sous les versions d’iOS antérieure à la version 8.2. Sur ces 771 applications, 7 utilisent leur propre version vulnérable d’OpenSSL et sont toujours vulnérables sous iOS 8.2."

La majorité des applications vulnérables appartient à la catégorie des applications en rapport avec la protection de la vie privée et la sécurité des informations des utilisateurs. Il s’agit d’applications pour les photos et les vidéos, d’applications de réseau social, d’applications en rapport avec la santé et le fitness, les finances, les communications, le shopping, le style de vie, les affaires et la médecine.

Les clés de 512 bits sont ce qui restent de la guerre du chiffrement ; le gouvernement américain les avait autorisées pour l’exportation. La majorité des experts avait cru que la prise en charge de ces suites de chiffrement faible avait été éliminée de la majorité des serveurs, mais ce n’était pas le cas à en croire la communication de Microsoft Research et de l’INRIA (Institut national de recherches en France qui réalise des travaux en informatique, sur la théorie de la gestion et en mathématique appliquée).

L’étude du Royal Holloway University of London a également démontré que les administrateurs de serveur et les grands fournisseurs de technologie éliminent activement la prise en charge des suites de chiffrement plus faibles. Les premiers résultats faisaient état de 26% des serveurs vulnérables à FREAK, mais les chercheurs du Royal Holloway ont déterminé que ce chiffre avait atteint environ 11 %.

Les codes d’exploitation de FREAK ont leur limite d’après les experts car ils requièrent une implication active de l’individu malintentionné dans la connexion TLS. Autrement dit, ils doivent avoir accès au serveur. Tod Beardsley, ingénieur en chef chez Rapid7, a déclaré que les conséquences pratiques de ce bogue sont limitées.

Il a indiqué qu’en "raison de la nécessité d’un homme au milieu actif, ce bogue peut être utile pour les espions qui attaquent des utilisateurs définis dans un réseau dont la sécurité est très élevée. Il n’est pas très utile pour les cybercriminels traditionnels car il existe des moyens beaucoup plus simple pour rediriger le trafic d’un utilisateur et le récolter dans des contextes de complexité différente."

Lien :        Threatpost

Applications mobiles pour Android et iOS toujours vulnérables à l’attaque FREAK

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception