HostnameVerifier non sécurisé

Catégorie OWASP : MASVS-CODE : qualité du code

Présentation

L'implémentation de HostnameVerifier est chargée de vérifier que le nom d'hôte du certificat du serveur correspond à celui du serveur auquel le client tente de se connecter.

Une implémentation HostnameVerifier non sécurisée dans une application Android est une implémentation qui ne vérifie pas correctement le nom d'hôte du serveur avec lequel l'application communique. Cela peut permettre à un pirate informatique d'usurper l'identité d'un serveur légitime et d'inciter l'application à envoyer des données sensibles au pirate.

Cette faille existe, car la classe HostnameVerifier comporte des appels de fonction pouvant ignorer la validation du nom d'hôte du certificat X.509 et vérifier uniquement le hachage du certificat. L'idée répandue que la fonction SSLSession#isValid effectue une opération liée à la sécurité est fausse. En réalité, elle sert uniquement à vérifier si une session est valide et si elle peut être reprise ou rejointe, ce qui ne valide pas sa sécurité. La classe HostnameVerifier a été remplacée par NetworkSecurityConfig.

Impact

Les implémentations HostnameVerifier non sécurisées peuvent entraîner des failles qui permettent de lancer des attaques MiTM ("man in the middle") sur le trafic réseau à partir de l'application victime. Si vous exploitez ce code non sécurisé, les données réseau de l'application d'un utilisateur peuvent être compromises par des pirates informatiques (à distance ou localement) si ce code est déclenché. L'impact dépend du contenu du trafic réseau exposé par inadvertance (informations permettant d'identifier personnellement l'utilisateur, informations privées, valeurs de session sensibles, identifiants de service, etc.).

Stratégies d'atténuation

Utilisez la fonctionnalité NetworkSecurityConfig.xml pour vous assurer que toutes les connexions de production, de test, de débogage et de développement sont correctement gérées, au lieu d'utiliser ou d'implémenter un code de validation de certificat TLS/SSL personnalisé.

Ressources