Publié par UnderNews Actu - Télécharger l'application Android
ExpressVPN

L’expert en cybersécurité Bitdefender a analysé l’application populaire Instapaper sur Android, et a découvert qu’elle était vulnérable aux attaques de type « man-in-the-middle » (MITM), et ce, malgré une communication en HTTPS.

Cette vulnérabilité permet au pirate de récupérer les informations d’identification de l’utilisateur lorsqu’il se connecte ou s’enregistre, ce qui peut avoir de graves conséquences, surtout si les utilisateurs possèdent le même mot de passe pour plusieurs comptes.

Le problème

Instapaper permet à ses utilisateurs de sauvegarder et stocker des articles pour les lire plus tard même sans accès Internet. L’application fonctionne en sauvegardant le texte des pages Web, tout en adaptant leur format d’affichage sur des tablettes ou des smartphones. Toute personne souhaitant utiliser cette application doit d’abord s’enregistrer en créant un compte pour consulter ses notes, articles préférés ou avoir accès à d’autres options.

La vulnérabilité ne se trouve pas dans la façon dont l’application se procure les contenus, mais dans la façon dont elle met en œuvre (ou, en l’occurrence, ne met pas en œuvre) une validation de certificat.  En effet, même si toute la communication se fait via HTTPS, l’application ne réalise aucune validation de certificat. Si quelqu’un veut exécuter une attaque de type MITM, il peut utiliser un certificat qu’il a signé lui-même, et « communiquer » avec l’application. L’application installe SSLSocketFactory et utilise TrustManager sans demander de validation de certificat.

SSLSocketFactory est responsable de la validation du serveur HTTPS grâce à une liste de certificats, ainsi que de la validation de l’authenticité du serveur HTTPS à l’aide d’une clé privée. Ce processus est particulièrement important puisqu’il permet l’authentification serveur et garantit que la communication entre utilisateur et serveur  soit chiffrée et non visible en texte brut par les outils d’espionnage de trafic.

TrustManager regarde si la chaîne de certificat spécifique peut être validée et est fiable pour l’authentification client/serveur pour ce type d’authentification spécifique. En d’autres termes, s’il n’y a pas d’implémentation pour TrustManager, n’importe qui peut se faire passer pour le serveur Instapaper et commencer à collecter des informations d’identification via une attaque MITM.

L’attaque

Si un utilisateur se connecte à son compte en étant connecté à un réseau Wifi contrôlé par un hacker, ses informations d’identification (identifiant et mot de passe) pourraient être facilement interceptées grâce à un faux certificat et un outil de sniffing du trafic.

L’expérience a consisté à utiliser un « proxy MITM » capable d’intercepter les informations d’identification Instapaper, comme ci-dessous :

mitm-android-03

Les conséquences

Même si le hacker semble n’avoir accès qu’au compte Instapaper, la plupart des gens utilisent le même mot de passe pour plusieurs de leurs comptes.

Un cybercriminel pourrait donc tenter d’utiliser votre compte Instapaper pour accéder à vos réseaux sociaux ou e-mails, qui eux-mêmes peuvent contenir des informations sensibles.

Des études ont démontré que plus de 50% des utilisateurs réutilisent le même mot de passe, c’est pourquoi il y a de grandes chances que plusieurs de vos comptes soient vulnérables si vos informations d’identification Instapaper sont volées.

Nous avons averti l’équipe de développement responsable de l’application Instapaper d’Android de cette vulnérabilité.

Cet article a été écrit à partir des informations techniques fournies par Vlad Bordianu, chercheur en sécurité chez Bitdefender. Son étude a été réalisée sur Instapaper Version 4.1.4 (version code: 46).

 

Source de l’étude : Laboratoires Bitdefender France

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (2 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , , ,


Vos réactions

Ils parlent du sujet :

  1. L’application Instapaper vulnérabl...

    […] L’expert en cybersécurité Bitdefender a analysé l’application populaire Instapaper sur Android, et a découvert qu’elle était vulnérable aux attaques de type « man-in-the-middle » (MITM), et ce, malgré une communication en HTTPS.Cette vulnérabilité permet au pirate de récupérer les informations d’identification de l’utilisateur lorsqu’il se connecte ou s’enregistre, ce qui peut avoir de graves conséquences, surtout si les utilisateurs possèdent le même mot de passe pour plusieurs comptes.Le problèmeInstapaper permet à ses utilisateurs de sauvegarder et stocker des articles pour les lire plus tard même sans accès Internet. L’application fonctionne en sauvegardant le texte des pages Web, tout en adaptant leur format d’affichage sur des tablettes ou des smartphones. Toute personne souhaitant utiliser cette application doit d’abord s’enregistrer en créant un compte pour consulter ses notes, articles préférés ou avoir accès à d’autres options.  […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.