Pwn2Own : un iPhone piraté en 20 secondes
Pour en copier tous les SMS

Le , par Katleen Erna, Expert éminent sénior
Pwn2Own : un iPhone piraté en 20 secondes, pour en copier tous les SMS

Lors du concours de hacking Pwn2Own, la base de donnée qui contient les SMS de l'iPhone n'a pas tenu longtemps.

Deux hackers, enzo Iozzo et Ralf Philipp Weinmann, ont réussi à s'y introduire et à en copier tout le contenu (y compris les SMS qui avaient été effacés) en redirigeant les utilisateurs vers un site web compromis.

Tout cela en un temps record, puisqu'il leur a suffit de 20 secondes pour aspirer toutes les données de cette base de données de l'iPhone. leur technique pourrait également permettre d'accéder aux contacts, photos, fichiers audio, etc... du smartphone.

Les deux hommes ont reçu 15.000 $ pour leur victoire, et les détails de leur exploit ne seront révèles qu'après qu'Apple ait été informé de cette vulnérabilité et qu'il ne la patch.


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 27/03/2010 à 11:11
Citation Envoyé par Katleen Erna  Voir le message
Deux hackers, enzo Iozzo et Ralf Philipp Weinmann, ont réussi à s'y introduire et à en copier tout le contenu (y compris les SMS qui avaient été effacés)

Au moins on sait à qui s'adresser pour récupérer ses données perdues sans se déplacer.
Avatar de azgard35 azgard35 - Nouveau membre du Club http://www.developpez.com
le 27/03/2010 à 12:13
Précisions supplémentaires :

Une fois les sms récupérés, le hack fait planter l'iphone. Mais l'auteur dit qu'avec plus de temps et de travail il pourrait rendre l'opération invisible.

Et pour rappel, Mac OS, Windows 7, Firefox etc... ont également été hackés.
Aucun système n'est complètement sécurisé.

La question qui se pose : comment les équipes de sécurité de ces logiciels peuvent être battus par un hacker après 2 semaines de travail et 3 machines pour trouver la faille ? C'est d'ailleurs le commentaire de l'auteur.
Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 27/03/2010 à 12:45
Citation Envoyé par azgard35  Voir le message
La question qui se pose : comment les équipes de sécurité de ces logiciels peuvent être battus par un hacker après 2 semaines de travail et 3 machines pour trouver la faille ? C'est d'ailleurs le commentaire de l'auteur.

J'ai plusieurs fois lu (charlie miller) qu'ils (hackers) faisaient du reverse ingeneering, les logiciels existent
.

Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 27/03/2010 à 14:40
Citation Envoyé par trident_job  Voir le message
Apple n'a aucun intérêt à ne pas le faire. Et en cas de refus ... quelqu'un d'autre pourrait trouver la faille et la diffuser sur le net !

Ils l'ont déjà fait.
Avatar de pcaboche pcaboche - Rédacteur http://www.developpez.com
le 27/03/2010 à 23:42
Citation Envoyé par Katleen Erna  Voir le message
Les deux hommes ont reçu 15.000 $ pour leur victoire, et les détails de leur exploit ne seront révèles qu'après qu'Apple ait été informé de cette vulnérabilité et qu'il ne la patch.

Les deux hackers ont gagné $15.000 en récupérant des données personnelles dans un iPhone.
Mark Zuckerberg a gagné $15.000.000.000 en demandant gentiment aux utilisateurs de facebook de lui donner leurs données personnelles...

Oui, je sais, ça n'a pas beaucoup de rapport avec le sujet original, mais je trouve le parallèle amusant...
Avatar de Su Su - Nouveau membre du Club http://www.developpez.com
le 28/03/2010 à 22:37
En 20 secondes, pour savoir tout de notre vie...
C'est cher payé l'iphone, ça serait bien tout de même qu'il soit sécurisé comme il se doit.
Avatar de Louis Griffont Louis Griffont - Inactif http://www.developpez.com
le 29/03/2010 à 8:37
Visiblement, ils ont utilisé une faille de sécurité de SAFARI !

Dans le même concours, Firefox et IE ont été piraté, mais pas Chrome !
Avatar de dams78 dams78 - Membre chevronné http://www.developpez.com
le 29/03/2010 à 10:32
En fait il y a piraté et piraté... ce qui est important c'est les données qu'on va récupérer : les sms sont personnels mais pas forcément compromettant (pas comme un numéro de carte bleue).
En tout cas c'est mal foutu qu'en passant par Safari on arrive aux sms...
Avatar de atb atb - Membre éclairé http://www.developpez.com
le 29/03/2010 à 10:47
En fait ya piraté et piraté... ce qui est important c'est les données qu'on va récupérer : les sms sont personnels mais pas forcément compromettant (pas comme un numéro de carte bleue).

Pas si sur ! Il y a certaines données qui valent plus chères qu’un numéro de carte bleu. Tout dépend de la place qu'occupe le propriétaire de ce gadget dans la société.
Avatar de deadalnix deadalnix - Membre chevronné http://www.developpez.com
le 29/03/2010 à 15:58
C'est dommage qu'ils ne disent pas lesquels l'ont été par un plug-in. Car c'est souvent le cas au Pwn2own. Flash en tête, suis java
Avatar de aindoula aindoula - Futur Membre du Club http://www.developpez.com
le 02/04/2010 à 18:35
Citation Envoyé par atb  Voir le message
Pas si sûr ! Il y a certaines données qui valent plus chères qu’un numéro de carte bleu. Tout dépend de la place qu'occupe le propriétaire de ce gadget dans la société.

Exemple : le fameux SMS envoyé par Sarkosy à sa femme par exemple et que Paris Match a publié ..
Offres d'emploi IT
Outils et processus qualité - h/f
Atos - Provence Alpes Côte d'Azur - Toulon (83200)
Product definition consultant (H/F)
Atos - Provence Alpes Côte d'Azur - Sophia Antipolis
Création d'un site d'annonces
indépendant - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil