Suite à l’annonce par Appthority, société spécialisée dans la sécurité mobile, de la découverte d’erreurs de codage dans au moins 685 applications mobiles (Android et iOS), il ne va pas sans dire que le risque de la sécurité mobile et notamment sur les données de plus de 180 millions d'utilisateurs de smartphones est majeur !
Les données de plus de 180 millions de smartphones exposées !
La vulnérabilité Eavesdropper
L’alerte est lancée et la sécurité des applications mobiles est en jeu. La faille présente dans presque 700 applications mobiles relance le débat des risques, piratage des appels et SMS, possibilité d’écoutes téléphoniques, enregistrements audio, et de la manière dont les développeurs intègrent le code dans les applications.
Cette vulnérabilité Eavesdropper permet aux pirates d’accéder aux métadonnées de leurs comptes Twilio (messagerie vocale et textuelle). Appthority explique, « nous avons détecté la vulnérabilité Eavesdropper sur plus de 685 applications d’entreprise (44 % Android, 56 % iOS) associées à des comptes développeur Twilio ». Fin août, 170 étaient encore disponibles (Google et Apple) et les applications Android auraient été téléchargées plus de 180 millions de fois.
La confidentialité des messages affectée
Alors que les applications mobiles utilisées reposent souvent sur des services cloud, Johannes Ullrich, Directeur du SANS Internet Storm Center, Directeur Recherche, SANS Technology Institute commente « pour utiliser ces services, l’utilisateur doit fournir des informations d’identification – généralement sous la forme d’une clé API, sachant que le développeur lui-même dispose d’une clé API. Dans le cas de Twillio, service de messagerie vocale et textuelle, si un développeur inclut sa clé API dans l’application, alors cette clé peut être extraite de l’application et utilisée pour transmettre des commandes arbitraires à Twillio, ce qui peut affecter la confidentialité des messages envoyés par d’autres utilisateurs qui utilisent les mêmes informations d’identification fournies par le développeur. »
La clé API en jeu
Le développeur ne devrait jamais inclure une clé API au sein d’une application qui bénéficie d’un accès complet aux fonctionnalités des services Web. « Le développeur devrait plutôt fournir des jetons (tokens) d’accès individualisés à chaque utilisateur de l’application, ceci pouvant être automatisé. Une autre option est d’utiliser des technologies comme OAuth pour que l’utilisateur configure un compte directement avec un service Web tiers. Mais cela tend à être plus complexe. Dans certains cas, le service Web peut être en mesure de fournir des jetons d’accès aux capacités limitées. En dernier recours, le développeur peut configurer un proxy qui recevra la requête de l’application mobile, l’authentifiera à l’aide des informations d’identification de l’application de l’utilisateur, puis transmettra la requête au service Web en utilisant les informations d’identification du développeur. Dans ce cas, les informations d’identification du développeur ne sont jamais envoyées à l’utilisateur. Mais cette méthode ajoute des frais supplémentaires et de la complexité à l’application » poursuit Johannes Ullrich.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
