Attention aux saisies sensibles dans les navigateurs in-app
Par Arthur de la Brosse - Publié le
Le développeur Craig Hockenberry a publié il y a quelques heures un article sur son blog afin de mettre en garde les utilisateurs d'iOS.
D'après les observations de Hockenberry, les navigateurs accessibles depuis des apps sont capables d'observer chaque saisie effectuée par l'utilisateur, y compris lorsqu'il s'agit de remplir des formulaires sécurisés en renseignant des informations personnelles, identifiants de connexion ou encore numéros de carte bancaire.
De nombreuses applications ont en effet recours à un navigateur intégré, notamment lorsqu'il s'agit de se connecter à un service de partage comme X ou Facebook. Afin de mettre en évidence cette faille de sécurité, le développeur a créé une app nécessitant une connexion à Twitter, et comportant un module affichant automatiquement et en clair chaque information saisie, dont (et c'est bien le problème) le mot de passe de l'utilisateur. Si l'on pouvait supposer que cette démarche était aussi sécurisée que lors d'une connexion via Safari, Hockenberry prouve qu'il est en réalité assez simple pour le développeur de capturer les informations de connexion de l'utilisateur à son insu.
Hockenberry ajoute que cette technique a été testée avec succès sur iOS 7 et iOS 8, et que c'est la raison pour laquelle l'application Twitterrific: Tweet Your Way (dont il développe certaines fonctionnalités) avait initialement prévu un système d'échange de jeton sécurisé dans Safari, bien que cela compliquait légèrement la procédure de connexion de l'utilisateur. Cette pratique n'a toutefois pas convenu aux lutins de l'App Store et a été jugée contraire aux règles de la boutique virtuelle, ce qui a obligé la société à revoir son système de connexion et ainsi rater le jour de la sortie d'iOS 8 pour distribuer la mise à jour de son app (une première pour le célèbre client Twitter).
En attendant de trouver une solution satisfaisante qui préservera les données des utilisateurs, le développeur recommande d'éviter de renseigner ses identifiants de connexion ou toute autre donnée sensible dans un navigateur intégré à une app.
Source (Via)
Les navigateurs in-app considérés comme dangereux, titre celui qui a découvert un comportement étrange au sein de nombreuses applications.
D'après les observations de Hockenberry, les navigateurs accessibles depuis des apps sont capables d'observer chaque saisie effectuée par l'utilisateur, y compris lorsqu'il s'agit de remplir des formulaires sécurisés en renseignant des informations personnelles, identifiants de connexion ou encore numéros de carte bancaire.
De nombreuses applications ont en effet recours à un navigateur intégré, notamment lorsqu'il s'agit de se connecter à un service de partage comme X ou Facebook. Afin de mettre en évidence cette faille de sécurité, le développeur a créé une app nécessitant une connexion à Twitter, et comportant un module affichant automatiquement et en clair chaque information saisie, dont (et c'est bien le problème) le mot de passe de l'utilisateur. Si l'on pouvait supposer que cette démarche était aussi sécurisée que lors d'une connexion via Safari, Hockenberry prouve qu'il est en réalité assez simple pour le développeur de capturer les informations de connexion de l'utilisateur à son insu.
Il ne s'agit pas de phishing, précise le développeur,
le site affiché est bien le véritable Twitter. Cette technique peut être appliquée à n'importe quel site comportant un formulaire. [...] L'application est en train de vous voler votre identifiant et votre mot de passe en observant ce que vous tapez sur le site. Il n'y a rien que le propriétaire du site ne puisse faire à ce sujet.
Hockenberry ajoute que cette technique a été testée avec succès sur iOS 7 et iOS 8, et que c'est la raison pour laquelle l'application Twitterrific: Tweet Your Way (dont il développe certaines fonctionnalités) avait initialement prévu un système d'échange de jeton sécurisé dans Safari, bien que cela compliquait légèrement la procédure de connexion de l'utilisateur. Cette pratique n'a toutefois pas convenu aux lutins de l'App Store et a été jugée contraire aux règles de la boutique virtuelle, ce qui a obligé la société à revoir son système de connexion et ainsi rater le jour de la sortie d'iOS 8 pour distribuer la mise à jour de son app (une première pour le célèbre client Twitter).
En attendant de trouver une solution satisfaisante qui préservera les données des utilisateurs, le développeur recommande d'éviter de renseigner ses identifiants de connexion ou toute autre donnée sensible dans un navigateur intégré à une app.
Source (Via)
