Des applications bancaires vietnamiennes prises en flagrant délit d'utilisation d'API iOS privées pour espionner les utilisateurs
Deux applications bancaires vietnamiennes populaires, BIDV SmartBanking et Agribank Plus, ont été découvertes en train d'utiliser des API iOS privées cachées pour détecter d'autres applications installées sur les iPhones des utilisateurs. Des chercheurs en sécurité ont découvert que les applications, développées par VNPay, utilisent un logiciel commercial de protection d'applications mobiles et un code personnalisé appelé "VNPay Runtime Protection". Ce code exploite une vulnérabilité de canal latéral dans une API iOS privée pour identifier les applications et utilise un chiffrement XOR faible pour masquer les chaînes d'API. Cela viole les politiques de l'App Store d'Apple et risque la suppression de l'application, affectant des millions d'utilisateurs. L'incident n'a aucun lien avec une solution de sécurité mobile, BShield.