Faille massive des applications mobiles

La compagnie israélienne Skycure a découvert une faille majeure dans la communication des applications mobiles avec la partie serveur. En effet, la firme a découvert que nombre de ces applications communicant par le biais de services web sont vulnérables aux attaques de type HTTP Request Hijacking.

Cette attaque consiste à falsifier la réponse du serveur par une réponse de type 301 Moved Permanently. Ceci a pour effet de rediriger l’appel à l’API vers le serveur de l’attaquant.

La recommandation dans ce cas est de tenter l’appel à une URL secondaire avant d’accepter la redirection, ce que ne font pas la majorité des applications au jour d’aujourd’hui.

Les détails de la vulnérabilités seront dévoilées durant la conférence RSA Europe 2013.

Source : The Register

2 réflexions au sujet de « Faille massive des applications mobiles »

  1. Salut les gens,

    je vais faire mon casse couilles mais c’est pas juste pour le plaisir de le faire. C’est parce que j’aime bien lire vos news mais que, malgré tout, y’a souvent des fautes qui m’énervent (drunk grammar-nazi inside).

    Vous pourrez donc remplacer dans votre article « nombreuses de ces applications » par « nombre de ces applications » et « a falsifié » par « à falsifier ».

    Au plaisir de lire votre prochaine new.

    Bisounours à tous.

    Casse-croute.

  2. Mouep… comme écrit dans les commentaires sur le blog de Skycure ça sent le FUD.
    On peut difficilement parler de vrai faille mais plus d’une technique facilitant une exploitation puisqu’il faut d’abord réaliser un MITM…

Les commentaires sont fermés.