Certik encourage les utilisateurs d’iPhones de mettre à jour l’application OKX pour iOS. L’expert en sécurité explique avoir effectivement repéré une vulnérabilité au sein de l’appli, plus tôt ce mois-ci.
Certik conseille aux utilisateurs d’iPhone de mettre à jour OKX
Via un Tweet publié hier après-midi, Certik, l’entreprise spécialisée en cybersécurité web3, mettait en garde les utilisateurs d’iPhone. D’après elle, l’application OKX pour iOS comporte une faille de sécurité importante. La vulnérabilité en question est de type Remote Code Exécution (RCE), soit une possibilité, pour un hacker, d’exécuter du code à distance.
🚨 Attention! We urge users of OKX wallets to update their iOS app to the latest version immediately. Earlier this month, we identified and reported a critical Remote Code Execution (RCE) vulnerability in the OKX iOS App, leading to potential compromise of sensitive data and…
— CertiK (@CertiK) December 19, 2023
Le danger potentiel réside essentiellement dans la mise en danger d’informations sensibles des utilisateurs iPhone, mais également de leurs actifs en cryptos. Certik assure également que l’équipe d’OKX s’est montrée réactive en publiant une version mise à jour de l’application rapidement, permettant alors de sécuriser la situation. Certik conseille ainsi aux utilisateurs d’iPhone de mettre à jour l’appli OKX aussi vite que possible.
OKX publie une mise à jour de son application pour iPhone
Thanks @Certik for the note.
We've completed the relevant upgrade & this is no longer an issue. We have verified that this did not impact any customer assets.
The fix has been deployed to iOS version 6.45.0 & we recommend you update the app asap. pic.twitter.com/5HfOnATPeu
— OKX (@okx) December 19, 2023
En réponse à l’alerte de Certik, OKX a ainsi publié la version 6.45.0 de son application pour iPhone. La plateforme recommande, elle aussi, une mise à jour au plus vite pour les utilisateurs. OKX assure également que cette faille n’a pas été exploitée, et que les fonds des utilisateurs, ainsi que leurs données personnelles, sont bel et bien en sécurité.
Pour les utilisateurs concernés qui n’ont pas encore procédé à la mise à jour, celle-ci peut être trouvée directement sur l’App Store, et être téléchargée de la manière habituelle. Pour l’heure, aucun utilisateur ne semble avoir rapporté de problème lié à la faille de sécurité détectée hier dans l’après-midi.
WalletConnect, dans le viseur de Certik
In the course of an unrelated penetration test, we discovered an XSS vulnerability in WalletConnect's Verify API. WalletConnect is a popular protocol that links dApps to cryptocurrency wallets. 🧵👇
— CertiK (@CertiK) December 19, 2023
Dans la foulée, Certik révélait également, sur X, la découverte d’une faille de sécurité concernant WalletConnect. L’expert pointe effectivement du doigt une « vulnérabilité XSS dans l’API de vérification de WalletConnect ». Le problème est davantage important qu’il s’agit d’un protocole largement populaire pour la connexion aux dApps.
Certik a également entrepris de décrire le mécanisme auquel l’exploit obéit. Il s’agit d’une création de site de phishing afin de tromper l’utilisateur et de le pousser à s’authentifier au sein de transactions évidemment fausses. Les malfaiteurs utilisent ainsi la réputation et la notoriété de WalletConnect afin de soutirer des fonds aux utilisateurs peu avertis. Certik signale également que WalletConnect a répondu rapidement au rapport de l’expert afin d‘apporter une solution dans les plus brefs délais.
Sur le même sujet :
- La société de sécurité crypto CertiK révèle une vulnérabilité critique dans Apple iOS
- CertiK reçoit une récompense de 500 000$ de la part de la blockchain Sui
- Merlin et CertiK vont indemniser les victimes du piratage à hauteur de 2 millions de dollars