Les connexions chiffrées de plus de 25 000 apps sur iOS peuvent être potentiellement espionnées par des attaquants exploitant une 2e faille dans la bibliothèque Open Source AFNetworking. Celle-ci est utilisée par de nombreux développeurs sous iOS et Mac OS X pour mettre en oeuvre des communications web, dont celles reposant sur HTTPS (http couplé à du chiffrement SSL/TLS). Cette 2ème vulnérabilité vient de l’incapacité des certificats numériques à valider les noms de domaine dans AFNetworking. Elle permet à des attaquants interceptant le trafic HTTPS entre une application et un service web de déchiffrer cet échange en présentant un certificat pour un nom de domaine différent.

Ces attaques de type man-in-the-middle peuvent être lancées sur des réseaux sans fil non sécurisée, en s’introduisant sur les routeurs ou à travers d’autre méthodes. Selon le site SourceDNA, plus de 25 000 apps iOS sont potentiellement vulnérables à cause de cette faille touchant AFNetworking à partir de la version 2.5.2 de la bibliothèque. Le problème a été corrigé dans la version 2.5.3 livrée le 20 avril. En fin de semaine dernière, SourceDNA a expliqué que les applications qui ont activé l’étape supplémentaire du certificate pinning ne sont pas vulnérables mais ce mécanisme n’est utilisé que par un petit nombre de développeurs.

Cette 2ème faille avait été signalée à l’équipe d’AFNetworking le 27 mars, un jour après la livraison de la mise à jour 2.5.2 de la bibliothèque. Cette dernière venait corriger une vulnérabilité touchant la 2.5.1 et affectant un millier d’apps iOS sur les 100 000 qui utilisent AFNetworking.