Actu
Zscaler révèle l’existence de failles de sécurité au sein de l’application mobile ESPN, Entertainment Sport Programming Network
janvier 2013 par Zscaler
Zscaler annonce que ESPN ScoreCenter, application mobile, de renommée mondiale, dédiée au sport possède des failles sérieuses en matières de sécurité qui peuvent compromettre l’appareil mobile, incluant une menace de vol de données. Ces défauts ont été découverts en utilisant l’application ZAP de Zscaler (Zscaler Application Profiler), outil online gratuit permettant d’évaluer les risques sécuritaires liés aux applications.
Ce problème du manque de sécurité lié à l’application ESPN ScoreCenter montre que ces failles prolifèrent sur les applications mobiles et que les mesures de sécurité les plus basiques sont souvent négligées dans la procédure de développement.
« Il est important de savoir que la plupart des applications mobiles ne sont pas des applications natives. Ce sont essentiellement des pages Web affichées dans le WebView control, ou simplement un contenu Web mixé avec des contrôles natifs » explique Michael Sutton, vice-président de la recherche sur la sécurité chez Zscaler. « Les vulnérabilités les plus communes des applications Web peuvent également exister dans les applications mobiles. Les utilisateurs devraient être méfiants face à de telles menaces, souvent cachées dans les applications mobiles. En effet, les applications ne possèdent pas le même indicateur annonçant que les données ont été envoyées de manière sécurisée » ajoute-t-il.
D’une part, en affichant un contenu Web basique, sans nettoyer correctement les données entrantes des utilisateurs, ESPN SportsCenter génère une vulnérabilité de type XSS (cross-site scripting). En conséquence, le contenu actif de type Java peut être injecté dans l’application. D’autre part, ESPN ScoreCenter délivre les identifiants de manière visible lorsque le compte est créé. En envoyant le mot de passe de la sorte, ESPN permet à la personne qui espionne le trafic Web de voler cette donnée.
Ces imperfections ont été découvertes en utilisant ZAP (Zscaler’s Application Profiler). ZAP est un outil online très simple d’utilisation sur lequel les utilisateurs peuvent trouver le nom des applications iOS ou Android et recevoir immédiatement une alerte l’informant des risques de sécurité. Les utilisateurs peuvent également utiliser ZAP pour scanner le trafic d’une application installée sur leur appareil afin de voir à quel moment leurs données sont exposées. Aucune expertise en sécurité n’est exigée pour utiliser ZAP. Comme de plus en plus d’utilisateurs soumettent leurs applications à l’analyse, le laboratoire ThreatLabZ de Zscaler intègre les données mobiles permettant une sécurisation de centaines d’applications mobiles.
