Des chercheurs en sécurité ont découvert que certaines applications importantes de certaines banques britanniques et américaines présentaient des vulnérabilités qui permettaient potentiellement à des parties malveillantes de voler leurs identifiants de connexion, bien que ces failles aient apparemment été corrigées.

Des chercheurs du département informatique de l'Université de Birmingham, au Royaume-Uni, ont découvert que des banques telles que HSBC, ainsi qu'un fournisseur de VPN, TunnelBear, présentaient des failles dans leurs applications iOS et Android qui permettaient des attaques dites "d'homme au milieu". prend place.

  • Nous avons sélectionné tous les meilleurs services VPN gratuits

Le problème concernait la manière dont les applications procèdent à une «épinglage de certificat», qui permet au logiciel de spécifier un certificat donné qui est approuvé pour un serveur donné. La vulnérabilité réside dans l'implémentation de l'identification et de la vérification des certificats utilisée lors de la création d'une connexion TLS, explique Threatpost..

Le résultat étant qu'il était possible d'usurper ledit certificat et donc de déclencher une attaque "homme au milieu", dans laquelle la partie malveillante peut ensuite obtenir les informations de connexion de la victime..

Compromis critiques

Ceci est évidemment particulièrement critique en ce qui concerne les services bancaires en ligne, et les applications concernées comprenaient toute une gamme d'applications HSBC (y compris l'application HSBC de base et l'application HSBC Business), ainsi que Bank of America Health, Meezan Bank et Smile Bank..

Il est également préoccupant qu'un fournisseur de réseau privé virtuel (VPN) puisse avoir une faille dans son logiciel, sachant que les réseaux privés virtuels visent essentiellement à faire d'Internet un lieu plus sécurisé et plus privé pour les utilisateurs..

Selon le rapport, toutes les banques ont corrigé les vulnérabilités pertinentes de leurs applications, mais cela ne fait que vous montrer que même les logiciels qui devraient réellement être ultra-sécurisés peuvent encore présenter des failles..

Bien que TunnelBear ne soit pas mentionné, on peut supposer que le fournisseur a également implémenté un correctif,.

Les chercheurs ont conclu: “Il est clair que l'abondance d'options d'implémentation disponibles pour les développeurs a joué un rôle dans l'apparition de ces failles. Les fournisseurs de plate-forme peuvent réduire ce problème en fournissant des implémentations normalisées avec une documentation claire. À cette fin, Google a introduit la configuration de la sécurité réseau dans le SDK Android 7.0..

“Si les développeurs d'applications utilisent ces implémentations standard au lieu de déployer leurs propres bibliothèques ou d'utiliser des bibliothèques tierces, ces erreurs seront beaucoup moins susceptibles de se produire..”

  • Découvrez les meilleurs services VPN pour obtenir les meilleures offres et offres VPN.