Une app Android vulnérable au MITM malgré le HTTPS

L’expert en cybersécurité Bitdefender a analysé l’application populaire Instapaper sur Android, et a découvert qu’elle était vulnérable aux attaques de type « man-in-the-middle » (MITM), et ce, malgré une communication en HTTPS.

Cette vulnérabilité permet au pirate de récupérer les informations d’identification de l’utilisateur lorsqu’il se connecte ou s’enregistre, ce qui peut avoir de graves conséquences, surtout si les utilisateurs possèdent le même mot de passe pour plusieurs comptes.

Le problème

Instapaper permet à ses utilisateurs de sauvegarder et stocker des articles pour les lire plus tard même sans accès Internet. L’application fonctionne en sauvegardant le texte des pages Web, tout en adaptant leur format d’affichage sur des tablettes ou des smartphones. Toute personne souhaitant utiliser cette application doit d’abord s’enregistrer en créant un compte pour consulter ses notes, articles préférés ou avoir accès à d’autres options.

La vulnérabilité ne se trouve pas dans la façon dont l’application se procure les contenus, mais dans la façon dont elle met en œuvre (ou, en l’occurrence, ne met pas en œuvre) une validation de certificat.

En effet, même si toute la communication se fait via HTTPS, l’application ne réalise aucune validation de certificat. Si quelqu’un veut exécuter une attaque de type MITM, il peut utiliser un certificat qu’il a signé lui-même, et « communiquer » avec l’application.

L’application installe SSLSocketFactory et utilise TrustManager sans demander de validation de certificat.

SSLSocketFactory est responsable de la validation du serveur HTTPS grâce à une liste de certificats, ainsi que de la validation de l’authenticité du serveur HTTPS à l’aide d’une clé privée. Ce processus est particulièrement important puisqu’il permet l’authentification serveur et garantit que la communication entre utilisateur et serveur  soit chiffrée et non visible en texte brut par les outils d’espionnage de trafic.

TrustManager regarde si la chaîne de certificat spécifique peut être validée et est fiable pour l’authentification client/serveur pour ce type d’authentification spécifique. En d’autres termes, s’il n’y a pas d’implémentation pour TrustManager, n’importe qui peut se faire passer pour le serveur Instapaper et commencer à collecter des informations d’identification via une attaque MITM.

L’attaque

Si un utilisateur se connecte à son compte en étant connecté à un réseau Wifi contrôlé par un hacker, ses informations d’identification (identifiant et mot de passe) pourraient être facilement interceptées grâce à un faux certificat et un outil de sniffing du trafic.

Les conséquences

Même si le hacker semble n’avoir accès qu’au compte Instapaper, la plupart des gens utilisent le même mot de passe pour plusieurs de leurs comptes.

Un cybercriminel pourrait donc tenter d’utiliser votre compte Instapaper pour accéder à vos réseaux sociaux ou e-mails, qui eux-mêmes peuvent contenir des informations sensibles.

Des études ont démontré que plus de 50% des utilisateurs réutilisent le même mot de passe, c’est pourquoi il y a de grandes chances que plusieurs de vos comptes soient vulnérables si vos informations d’identification Instapaper sont volées.

Nous avons averti l’équipe de développement responsable de l’application Instapaper d’Android de cette vulnérabilité.

Cet article a été écrit à partir des informations techniques fournies par Vlad Bordianu, chercheur en sécurité chez Bitdefender. Son étude a été réalisée sur Instapaper Version 4.1.4 (version code: 46).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut