Accueil›High-Tech›Uber corrige un bogue qui exposait les secrets d’applications tierces

Uber corrige un bogue qui exposait les secrets d’applications tierces

13 février 2019

1887

Uber a corrigé un bogue qui permettait l’accès aux tokens secrets de développeurs d’applications qui s’intégraient avec le service de covoiturage, selon les chercheurs en sécurité qui ont découvert la faille.

Dans un article de blog, Anand Prakash et Manisha Sangwan ont expliqué qu’un développeur vulnérable sur les systèmes back-end d’Uber – depuis verrouillés – crachait par erreur des secrets de clients et des jetons de serveur pour des applications autorisées par le propriétaire du compte Uber.

A lire en complément : Comment prolonger la durée de votre e-liquide

Les secrets des clients et les jetons de serveur sont considérés comme des éléments d’information très sensibles pour les développeurs, car ils permettent aux applications de communiquer avec les serveurs d’Uber. Pour sa part, Uber avertit les développeurs de ne ” jamais ” partager les clés avec qui que ce soit.

Prakash, fondateur d’AppSecure basé à Bangalore, a déclaré à TechCrunch que le bogue était “très facile” à exploiter, et aurait pu permettre à un attaquant d’obtenir des reçus de voyage et des factures. Mais il n’a pas testé jusqu’où l’accès aurait pu aller car il a immédiatement signalé le bug à Uber.

A lire en complément : Precursor Ventures vient de lever un deuxième fonds pour cibler les start-ups en phase de pré-amorçage.

Uber a mis un mois à corriger le bogue, conformément au calendrier de divulgation, et a été considéré comme suffisamment sérieux pour avertir les développeurs par courriel la semaine dernière de l’exposition possible.

“Pour le moment, nous n’avons aucune indication que le problème a été exploité, mais nous suggérons de revoir les pratiques de votre application par excès de prudence “, dit le courriel d’Uber aux développeurs : ” Nous avons atténué le problème en limitant l’information retournée au nom et à l’identifiant des applications autorisées “.

Uber n’a pas répondu à une demande de commentaires. Si ça change, on fera le point.

Prakash a reçu 5 000 $ en primes de bogues d’Uber pour avoir signalé le bogue, et se classe actuellement parmi les cinq premiers soumissionnaires pour la prime de bogue d’Uber.

Le chercheur en sécurité n’est pas étranger à la prime aux insectes d’Uber. Il y a deux ans, il a trouvé et exploité avec succès un insecte qui lui a permis de recevoir des voyages gratuits aux États-Unis et dans son Inde natale.

Un chercheur trouve un bogue qui a permis à Uber de faire des randonnées gratuites.

Uber corrige un bogue qui exposait les secrets d’applications tierces

Quels sont les usages du frittage laser dans la conception de prototypes

De l’origine et de l’usage de la touche Delete sur le clavier

Distinguer votre application web de la mêlée : 4 éléments indiscutables

Optimiser votre position de simracing pour un confort et des performances accrus