AFNetworking est une bibliothèque logicielle réseau pour les systèmes d'exploitation iOS et OS X qui est utilisée dans de nombreuses applications. En début de semaine dernière, SourceDNA avait identifié dans cette bibliothèque open source une vulnérabilité de sécurité affectant 1 000 applications iOS sur les plus de 100 000 ayant recours à AFNetworking.
En l'occurrence, la version 2.5.1 est vulnérable mais SourceDNA a trouvé une deuxième vulnérabilité dans AFNetworking 2.5.2 (et versions ultérieures). Vendredi, il était estimé que 25 000 applications iOS sont vulnérables.
La faille réside au niveau de la validation des noms de domaine d'un certificat électronique. Une faille SSL dont l'exploitation par des attaquants (sur le même réseau Wi-Fi) permet d'intercepter du trafic HTTPS entre une application vulnérable et un service Web. " Tout ce dont ils ont besoin est un certificat SSL valide pour n'importe quel serveur Web, quelque chose que vous pouvez acheter pour 50 $ ", écrit SourceDNA.
Disponible depuis le début de la semaine dernière, la version 2.5.3 de AFNetworking comble ladite vulnérabilité mais il faut bien évidemment que les développeurs s'en saisissent.
SourceDNA a mis en ligne un moteur de recherche baptisé Searchlight qui permet aussi à l'utilisateur de vérifier si des applications installées sur son appareil sont vulnérables. La recherche se fait en fonction du développeur (éditeur) de l'application utilisant AFNetworking.
