Mercredi dernier (23 janvier 2019) le chercheur en sécurité français Elliot Alderson (@fs0c131y) a publié sur twitter avoir découvert une vulnérabilité au sein de l'application mobile officielle des Gilets Jaunes "GJ-France", le chercheur a accompagné son tweet d'une vidéo :



Cette application développée par des manifestants et se revendiquant comme "officielle" a pour but de comptabiliser les membres du mouvement afin de présenter un chiffre réel et fiable lors des échanges à venir avec le gouvernement ou les médias.

Comme le montre la vidéo, cette faille a permis au chercheur de falsifier ce compteur en quelques lignes de code. Un défaut de sécurité trivial : l'absence d'authentification sur l'API exposée de l'application à permis au chercheur de manipuler le compteur. Le code source du POC est disponible sur GitHub.

Plus tard, les développeurs de l'application ont passé en mode maintenance l'app afin d'y apporter des correctifs de sécurité.

Le chercheur déclare que c'est "le pire backend (d'application mobile) qu'il ait vu de toute sa vie", on peut ainsi considérer que d'autres vulnérabilités seront découvertes.

Source : https://twitter.com/fs0c131y/status/1088009536869486592