QuizUp : l'une des applications les plus populaires d'iOS fourmille de failles de sécurité.

Le par  |  1 commentaire(s) Source : The Verge
Quizup

Ces dernières semaines, une application a progressivement grimpé les classements de l'AppStore jusqu'à flirter avec le top 5 des charts. QuizUp a rapidement accédé au succès, mais l'ascension fulgurante a un prix : l'application se révèle être remplie de failles de sécurité critiques.

QuizUp est une application qui impose une connexion par Email ou via un compte Facebook et qui propose aux joueurs de se lancer des défis au cours de quiz de culture générale (en anglais uniquement à ce jour).

quizup. Malheureusement, si l'application orientée vers les réseaux sociaux a rapidement gagné en popularité, il est rapidement apparu un grand nombre de failles critiques liées au processus même d'identification. L'application partagerait ainsi librement les coordonnées des utilisateurs, amenés à renseigner leurs identifiants Facebook ou directement leur adresse email associée à leur mot de passe.

Le développeur Kyle Richter, a de ce fait publié une note intitulée " Notre responsabilité en tant que développeurs " qui met en lumière l'ensemble des failles, dont certaines peuvent amener à partager des informations personnelles de l'utilisateur, mais aussi de ses amis à des tiers.

La plus grosse faille se situerait ainsi dans la façon dont les informations sont transmises lors de la mise en relation entre les joueurs. Les noms complets, ID Facebook, adresses email, photos, genre, dates d'anniversaire et même données de localisation sont transmis en caractères complets via SSL. Une petite manipulation aurait ainsi permis à Kyle Richter de récupérer des informations personnelles de plusieurs centaines de joueurs qu'il ne connaissait pas.

Plain Vanilla Games, l'éditeur de l'application a été contacté par le développeur, mais n'a pas daigné accorder quelconque attention aux failles présentes dans son application. Un démenti a même été publié dans les tribunes de TechCrunch afin de rassurer les utilisateurs tout en concédant toutefois quelques erreurs qui devraient être réglées au cours d'une mise à jour prochainement déployée.

L'affaire prouve ainsi les limites du processus de simplification des identifications liées aux comptes globaux d'emails ou de Facebook. Si ces systèmes permettent aux développeurs de toucher davantage d'utilisateurs et de simplifier les processus de création de comptes, elle nécessite également un gros travail de sécurisation des données afin justement de ne pas compromettre l'intégralité des données personnelles. De quoi donner à réfléchir une nouvelle fois (s'il le fallait encore)lorsqu'une application vous demandera de vous identifier avec les accès de votre compte email...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1572442
J'ai pas ce problème sur mon 3210
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]