Utilisateurs de Snapchat, si vous vous servez d'applications tierces qui tirent parti des possibilités du réseau social, il serait sans doute opportun de modifier vos mots de passe. Will Strafach, du Sudo Security Group, a mis au jour une combine permettant à plusieurs de ces logiciels de subtiliser les identifiants, mots de passe et parfois même les localisations de ces utilisateurs. Ces applications n'ont aucune raison de récupérer ces informations (nécessaires pour identifier l'utilisateur à son compte Snapchat), mais il y a pire : elles sont envoyées sur un serveur via des connexions non sécurisées.
Cela signifie qu'un malandrin peut « sniffer » ces données sur un réseau Wi-Fi public, comme dans un café, un hôtel, à l'école… le tout sans faire d'efforts particuliers pour intercepter les informations. Les applications en question sont, d'après les premières recherches de Strafach, Snapix, Quick Upload et SnapBox. Ces deux dernières téléversent les infos sur le même serveur, likepotion.topranksoft.com ; SnapBox récupère également la localisation de l'utilisateur sans raison.
Comment être certain qu'une application qui exploite les fonctions d'un service comme Snapchat n'est pas un aimant à données confidentielles ? Si elle utilise la méthode d'authentification OAuth, où il faut se connecter au travers de Safari ou d'une vue web Safari, on peut avoir une certaine confiance. Sinon, la méfiance est la règle, et généralement, mieux vaut utiliser les applications officielles.
Will Strafach va bientôt proposer à tout un chacun de vérifier la sécurité de la transmission de données des applications mobiles, avec le moteur Verify.ly. Cet outil, qui s'annonce indispensable, ouvrira sous peu.
Source :
