Uber corrige un bogue qui exposait les secrets d’applications tierces
Uber a corrigé un bogue qui permettait l’accès aux tokens secrets de développeurs d’applications qui s’intégraient avec le service de covoiturage, selon les chercheurs en sécurité qui ont découvert la faille.
Dans un article de blog, Anand Prakash et Manisha Sangwan ont expliqué qu’un développeur vulnérable sur les systèmes back-end d’Uber – depuis verrouillés – crachait par erreur des secrets de clients et des jetons de serveur pour des applications autorisées par le propriétaire du compte Uber.
A lire aussi : Samsung's Galaxy Fold lance le 26 avril, à partir de 1 980 $.
Les secrets des clients et les jetons de serveur sont considérés comme des éléments d’information très sensibles pour les développeurs, car ils permettent aux applications de communiquer avec les serveurs d’Uber. Pour sa part, Uber avertit les développeurs de ne ” jamais ” partager les clés avec qui que ce soit.
Prakash, fondateur d’AppSecure basé à Bangalore, a déclaré à TechCrunch que le bogue était “très facile” à exploiter, et aurait pu permettre à un attaquant d’obtenir des reçus de voyage et des factures. Mais il n’a pas testé jusqu’où l’accès aurait pu aller car il a immédiatement signalé le bug à Uber.
A découvrir également : Le très bon Galaxy S10 de Samsung est maintenant en vente
Uber a mis un mois à corriger le bogue, conformément au calendrier de divulgation, et a été considéré comme suffisamment sérieux pour avertir les développeurs par courriel la semaine dernière de l’exposition possible.
“Pour le moment, nous n’avons aucune indication que le problème a été exploité, mais nous suggérons de revoir les pratiques de votre application par excès de prudence “, dit le courriel d’Uber aux développeurs : ” Nous avons atténué le problème en limitant l’information retournée au nom et à l’identifiant des applications autorisées “.
Uber n’a pas répondu à une demande de commentaires. Si ça change, on fera le point.
Prakash a reçu 5 000 $ en primes de bogues d’Uber pour avoir signalé le bogue, et se classe actuellement parmi les cinq premiers soumissionnaires pour la prime de bogue d’Uber.
Le chercheur en sécurité n’est pas étranger à la prime aux insectes d’Uber. Il y a deux ans, il a trouvé et exploité avec succès un insecte qui lui a permis de recevoir des voyages gratuits aux États-Unis et dans son Inde natale.
Un chercheur trouve un bogue qui a permis à Uber de faire des randonnées gratuites.