76 applications iOS vulnérables à cause d’une mauvaise implémentation de TLS

Dans un rapport publié cette nuit, la société Sudo Security Group indique que des dizaines d’applications iOS implémentent mal certains paramètres de sécurité, fragilisant ainsi les connexions TLS. Ce malgré l'insistance d’Apple dans ce domaine.

Dans le rapport, on apprend ainsi que 76 applications n’ont pas correctement utilisé les technologies de sécurité à leur disposition. Dans l’intégralité des cas, les services en arrière-plan permettent à des attaques de type homme-du-milieu de récupérer des informations. Cependant, la sensibilité de ces dernières varie fortement.

76 applications ne vont pas jusqu'au bout

Will Strafach, président de Sudo Security, indique dans un billet de blog que les tests ont été effectués vie l’outil maison verify.ly, qui permet de déclencher des analyses statiques de masse sur les binaires des applications dans l’App Store. Selon lui, ces défauts de sécurité résultent tous d’un ou plusieurs bugs ouvrant la voie à des attaques silencieuses. Les 76 applications étant populaires, le danger est réel.

Ces tests ont été effectués en laboratoire, en utilisant finalement la même technique qu’un pirate dans ce type de cas. Sudo Security a en effet exploité l’un de ses propres certificats SSL et configuré un serveur pour qu’il apparaisse comme légitime. Le test a fonctionné à chaque fois. Comme indiqué cependant, le niveau d’indiscrétion peut largement changer d’une application à une autre.

Des simples données télémétriques aux informations sensibles

Ainsi, 33 de ces applications représentent un risque faible, les informations dévoilées étant globalement périphériques : télémétrie, adresse email, mais parfois aussi des identifiants. ooVoo, Volify, certaines applications complémentaires pour Snapchat ou encore Mico et Tencent Cloud font partie des noms cités.

24 représentent un niveau de risque moyen, l’attaquant pouvant notamment récupérer des jetons d’authentification et les identifiants d’utilisateurs actifs. Mais pour les 19 dernières, le risque est élevé. Les informations révélées peuvent ainsi être de type financier ou médical, les rendant particulièrement sensibles. Notez que pour ces deux catégories, Sudo ne donne aucun nom. Les éditeurs ont tous été avertis, le risque étant que des attaques aient lieu avant la mise à jour. Will Strafach a cependant promis de publier plus tard la liste exacte des identifiants CVE pour ces failles.

Notez tout de même que les attaques de type homme-du-milieu ne peuvent dans la plupart des cas avoir lieu que sur des réseaux ouverts, comme ceux des lieux publics. Bien qu’il soit techniquement possible de leurrer un appareil pour le faire se connecter à un tel réseau, les utilisateurs ont peu de risque d’être attaqués sur des réseaux Wi-Fi connus et sécurisés.

Après les connexions en clair, les mauvaises implémentations de TLS

Ars Technica, qui a refait les tests de son côté, corrobore les dires de Sudo Security. Pour nos confrères, ce type de faille n’a rien de nouveau, ni sur iOS, ni sur Android. Ils se disent cependant déconcertés, non seulement à cause de l’insistance d’Apple dans ce domaine, mais également parce que certaines applications manipulent des données particulièrement sensibles.

On remarquera bien sûr que la sécurité générale des applications a beaucoup évolué en quelques années. Nos confrères rappellent par exemple qu’il n’était pas rare encore en 2014 de voir des applications échanger des identifiants et des jetons de sessions en clair sur Internet. Il ne faudrait pas toutefois qu’une mauvaise implémentation de TLS prenne le relai.

Apple pousse ATS, mais il n'est toujours pas obligatoire

Rappelons également qu’Apple pousse de son côté à l’utilisation d’ATS (App Transport Security), fondé sur TLS 1.2 et chiffrant les connexions avec AES et SHA-2. Bien qu’ATS ait le mérite de mettre en avant TLS chez les éditeurs tiers, il n’aurait cependant pas pu faire de miracle dans le cas présent. Comme l’indique Ars Technica en effet, ATS rend (évidemment) obligatoire la présence d’un certificat, mais ne force pas les applications à le vérifier. En outre, Apple a repoussé en décembre la date butoir pour l'utilisation d'ATS, fixée initialement au 1er janvier.

Ce problème rappelle en tout cas le cas récent de la banque N26, dont l’application contenant plusieurs failles. L’une d’entre elles concernait justement la vérification du certificat, l’application ne s’assurant pas qu’elle communiquait avec un service authentique. Le souci est similaire, mais ATS ne rend obligatoire aucune technique ici, les développeurs étant libres de procéder comme ils le souhaitent, notamment par un épinglage de certificats.