Les développeurs d’applications utilisant le kit de développement de logiciel QuickBlox et l’interface de programmation d’applications pour les applications de clavardage et de vidéo sont invités à mettre à jour le cadre dès que possible pour éliminer des vulnérabilités graves.
QuickBlox est souvent utilisé en arrière-plan d’applications de clavardage et de vidéo sur iOS, Android et Web populaires dans des secteurs critiques tels que la finance et la télémédecine. Le cadre offre non seulement la gestion des utilisateurs, des fonctionnalités de clavardage public et privé en temps réel, mais également des fonctionnalités de sécurité qui garantissent la conformité aux réglementations dans un certain nombre de pays à travers le monde. C’est pourquoi les chercheurs de Check Point Software et Claroty ont déclaré mercredi que les failles « pourraient mettre en danger les informations personnelles de millions d’utilisateurs ».
Un cybercriminel pourrait tirer parti des vulnérabilités pour obtenir des clés codées en dur, accéder à des interphones intelligents et ouvrir des portes à distance, ou divulguer des données de patients à partir d’applications de télémédecine, selon le rapport des chercheurs.
Le rapport indique qu’une société israélienne qui a utilisé QuickBlox pour créer une application de communication vidéo pour les bâtiments a ignoré les avertissements des chercheurs sur les failles de sa solution qui ont permis aux chercheurs de la compromettre.
Une vulnérabilité réside dans le processus de connexion et d’authentification que tous les développeurs doivent utiliser pour la plate-forme QuickBlox. Une session d’application est nécessaire pour créer une session utilisateur. « Cela signifie », expliquent les chercheurs, « que chaque utilisateur doit obtenir une session d’application, ce qui nécessite la connaissance des secrets de l’application, en particulier l’ID d’application, la clé d’autorisation, le secret d’autorisation et la clé de compte. Afin de le rendre technologiquement applicable, les développeurs d’applications devaient s’assurer que ces clés secrètes sont accessibles à tous les utilisateurs. En examinant les applications utilisant QuickBlox, nous avons remarqué que la plupart d’entre elles choisissaient simplement d’insérer les secrets de l’application dans l’application. »
« Ce n’est jamais une bonne idée de cacher des jetons d’authentification secrets dans les applications car ils sont considérés comme des informations publiques et peuvent être facilement extraits à l’aide de diverses méthodes, de la rétro-ingénierie à l’analyse dynamique », indique le rapport.
Par défaut, indique le rapport, les paramètres QuickBlox permettent à toute personne disposant d’une session au niveau de l’application de récupérer des informations sensibles telles qu’une liste complète de tous les utilisateurs, les informations personnelles de tous les utilisateurs de l’application et la possibilité de créer de nouveaux utilisateurs. Et tandis que les propriétaires d’applications peuvent limiter l’accès à l’API au niveau de l’application à l’aide d’un menu de paramètres internes, en créant un compte d’utilisateur non autorisé, un attaquant pourrait accéder à des informations utilisateur spécifiques en accédant aux /ID.json. Les numéros d’identification créés par QuickBlox sont séquentiels, ce qui laisse les mots de passe ouverts à une attaque par force brute.
QuickBlox a maintenant publié une nouvelle architecture sécurisée pour sa plate-forme et une nouvelle API.
Adaptation et traduction française par Renaud Larue-Langlois.
