Menace sur des milliers d’applications iOS
Une seconde vulnérabilité SSL a été récemment découverte dans la très populaire librairie réseau AFNetworking, pour applications iOS et OS X.
Le spécialiste de l’analyse de code d’applications mobiles SourceDNA a découvert récemment une vulnérabilité au sein de la librairie AFNetworking. La seconde en quelques semaines.
Cette nouvelle vulnérabilité concerne encore l’implémentation SSL. La première vulnérabilité touchait la version 2.5.1 d’AFNetworking et lui permettait d’accepter les certificats auto-signés. De quoi permettre de conduire des attaques de type man-in-the-middle.
Mais la version suivante, 2.5.2, corrigeant cette première vulnérabilité, souffrait d’une autre. Celle-ci touchait à la validation des noms de domaines, une option désactivée par défaut. De quoi, cette fois-ci, permettre des attaques du même type, mais avec un authentique certificat obtenu moyennant quelques dizaines de dollars.
La version 2.5.3 de la librairie corrige cette seconde vulnérabilité. Dans un billet de blog, SourceDNA encourage les développeurs à mettre à niveau leurs applications au plus vite. Plus de 25 000 applications seraient concernées.
Et cela ne concerne pas que les applications grand public. Certes, l’application OneDrive pour iOS est vulnérable, mais c’est également le cas de Microsoft Power BI. Et il en va de même pour la solution collaborative IBM Event Connect Center ou encore – et probablement bien plus embarrassant – pour Good Pro, de Good Technology, quatre applications signées MobileIron, SAP Cloud for Customer, trois applications Box, celle de Concur, celle de Yammer, Desk de Salesforce, et même SafeMonk de SafeNet.
Certaines de ces applications ont depuis été mises à jour, à l’instar de Desk. Mais pas toutes - à commencer par Good Pro, SafeMonk, ou les applications de Box au moment où ces lignes sont écrites. Surtout, encore faut-il que les mises à jour aient été déployées sur les terminaux des utilisateurs...
Surtout, cet inventaire préoccupant ne correspond peut-être à rien de plus qu’à quelques arbres cachant une forêt plus vaste : de fait, qu’en est-il des applications métiers développées sur-mesure, en interne ou par des sous-traitant, et utilisant la librairie AFNetworking ?