Proposant une technologie permettant de détecter les vulnérabilités de sécurité dans les applications installées sur les smartphones, la société AppBugs a examiné une centaine d'applications avec plus d'un million de téléchargements. Pour 53 de ces applications Android et iOS, elles sont vulnérables à une attaque par force brute afin de permettre d'obtenir un mot de passe.

AppBugs Ces applications vulnérables représentent un total de près de 600 millions de téléchargements. La faille réside tout simplement dans le fait qu'un attaquant peut essayer sans fin des mots de passe jusqu'à tomber sur le bon.

" Une fois qu'un attaquant sait qu'une application est vulnérable à la force brute, cette personne peut lancer des attaques pour deviner le mot de passe de l'utilisateur depuis le service Web de l'application vulnérable sur tous les comptes de l'utilisateur ", écrit AppBugs.

AppBugs a prévenu les développeurs des applications concernées et leur a donné jusqu'à 90 jours si besoin pour corriger le problème. Le délai a expiré pour quinze applications et seulement trois ont mis en place un correctif : Wunderlist, Dictionary et Pocket.

La liste des douze applications vulnérables comprend Songza, iHeartRadio, ESPN, Expedia, CNN, Domino's Pizza USA, Zillow, AutoCAD 360, Slack, SoundCloud, Kobo et Walmart. AppBugs ne fait pas les choses à moitié puisque pour chaque application, l'URL spécifique où le problème a été trouvé est donnée.

La majorité des autres applications vulnérables seront publiées le 30 juillet. AppBugs regrette par ailleurs que parmi les applications vulnérables testées, l'authentification à deux facteurs n'est pas prise en charge.

Source : AppBugs