Snapchat : des applications tierces subtilisent les identifiants et mots de passe des utilisateurs
Utilisateurs de Snapchat, si vous vous servez d'applications tierces qui tirent parti des possibilités du réseau social, il serait sans doute opportun de modifier vos mots de passe. Will Strafach, du Sudo Security Group, a mis au jour une combine permettant à plusieurs de ces logiciels de subtiliser les identifiants, mots de passe et parfois même les localisations de ces utilisateurs. Ces applications n'ont aucune raison de récupérer ces informations (nécessaires pour identifier l'utilisateur à son compte Snapchat), mais il y a pire : elles sont envoyées sur un serveur via des connexions non sécurisées.
Cela signifie qu'un malandrin peut « sniffer » ces données sur un réseau Wi-Fi public, comme dans un café, un hôtel, à l'école… le tout sans faire d'efforts particuliers pour intercepter les informations. Les applications en question sont, d'après les premières recherches de Strafach, Snapix, Quick Upload et SnapBox. Ces deux dernières téléversent les infos sur le même serveur, likepotion.topranksoft.com ; SnapBox récupère également la localisation de l'utilisateur sans raison.
Comment être certain qu'une application qui exploite les fonctions d'un service comme Snapchat n'est pas un aimant à données confidentielles ? Si elle utilise la méthode d'authentification OAuth, où il faut se connecter au travers de Safari ou d'une vue web Safari, on peut avoir une certaine confiance. Sinon, la méfiance est la règle, et généralement, mieux vaut utiliser les applications officielles.
Will Strafach va bientôt proposer à tout un chacun de vérifier la sécurité de la transmission de données des applications mobiles, avec le moteur Verify.ly. Cet outil, qui s'annonce indispensable, ouvrira sous peu.
C'est pour cela que je n'utilise jamais d'applications tierces pour les e-mails ou autre application qui me demande mes mots de passes !
@Alberto8 :
OAuth comme l'a écrit MacG
Et tu as bien raison!
On est dans la pratique de l'ingénierie sociale la plus simple et basique.
Faut comprendre que dans les reseaux sociaux le produit c'est l'utilisateur. Il est la seule valeur du systeme, la seule source de benefice. Donc la seule chose qui peut s'exploiter et donc se voler sur un reseau social, c'est l'identité de l'utilisateur.
Partant de la, il faut etre ignorant, naïf ou stupide pour utiliser une application tierce pour se connecter a ces reseau sociaux...
Le plus evident aussi c'est que la majorité des utilisateurs utilisent le meme mot de passe pour tous leurs comptes et qu'une fois que l'un est volé il est facile de voler les donnees des autres comptes, ce qui peut aller bien au-dela des reseaux sociaux, voire jusqu'aux site bancaire ou médical...
C'est surprenant que ce genre de choses ne soient pas checkées à l'étape de validation des Apps quand même.
ils peuvent pas tout verrouiller. on le fait en connaissance de cause dès qu'on installe un truc. c'est donc notre responsabilité. c'est pas à Apple de s'occuper de tout.
si ton smartphone est professionnel, il faut rien installer dessus. que des apps de ta boite ou du système. c'est pour ça qu'y a des gens (actrices de cinema ou autres), qui utilisent plusieurs mobiles (qu'on les voit dans le photos avec deux ou plus de smartphone dans leur mains). les info top secret, dans un seul. et pour le plaisir un autre smartphone.
Là on parle d'applications disponibles sur l'App Store. Alors moi aussi ça me surprend beaucoup qu'Apple laisse passer ce genre de truc ! Et je trouverai encore plus bizarre que ces applications ne soient pas bannies, et leurs éditeurs aussi par la même occasion !
Je ne connais pas les procédures de validation d'Apple. Mais sans aller jusqu'à appliquer toute une batterie de tests de sécurité sur chaque nouvelle application, Apple peut déjà se contenter d'émettre une charte de sécurité, que chaque éditeur s'engage à respecter, sous peine d'être poursuivi en justice ou au minimum banni du Store.
Faut pas déconner, on parle de l'App Store d'Apple, pas du Play Store de Google.
@zzBoibes
La validation AppStore n'a rien à voir là-dedans car ces applications récupèrent des infos via SnapChat et les transmettent de manière non sécurisée.
Donc Snapchat ne bloque pas ces applications pas sécurisés du tout, mais bloque 6Snap (sur Windows Phone) alors que l'application était sécurisée... Paye ta logique
J'utilisais SnapBox avant, j'vais changer mon mdp