Un chercheur informe Google d'une faille dans l'Android Market
Et le regrette, il aurait pu gagner le concours de hacking Pwn2Own

Le , par Hinault Romaric, Responsable .NET
Un chercheur en sécurité a signalé à Google une vulnérabilité pouvant toucher son OS mobile Android. Une faille qu’il aurait pu utiliser lors du concours de hacking Pwn2Own qui se déroule actuellement et auquel il participe.

Jon Oberheide, a découvert une vulnérabilité critique touchant l'Android Market qui pouvait être exploitée par un pirate pour installer à distance des applications malveillantes sur les terminaux Android en incitant les utilisateurs à cliquer sur un lien malveillant.

Pensant que l’utilisation de cette vulnérabilité lors de la compétition de hacking était interdite par le règlement, Oberheide a informé Google de la situation. Google s’est empressé de mettre au point un correctif et de procéder à une mise à jour de l’Android Market.

Cependant, Oberheide apprit un peu plus tard plus tard que l’exploitation de la vulnérabilité n’allait absolument pas à l’encontre des règles du concours. Il aurait pu utiliser sa trouvaille pour gagner 15 000 dollars et le terminal sur lequel est exécutée la preuve de faisabilité.

Dans un billet de blog, Oberheide a manifesté son mécontentement face à la situation« je suis déçu, car je pensais que ce serait super de gagner le Pwn2Own avec une vulnérabilité de XSS boiteux », écrit-il.

Jon Oberheide n'a pas pour autant tout perdu. Il aurait reçu la prime officielle de 1337 dollars de Google pour avoir signalé la faille.

Source : Blog Jon Oberheide


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de PerlPicker PerlPicker - Membre du Club http://www.developpez.com
le 08/03/2011 à 14:36
cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.
Avatar de NameX NameX - Membre actif http://www.developpez.com
le 08/03/2011 à 15:01
ça illustre que la prochaine fois il l'a vendra à quelqu'un de malveillant !
Avatar de Priato Priato - Membre habitué http://www.developpez.com
le 08/03/2011 à 15:09
Citation Envoyé par PerlPicker  Voir le message
cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.

Oui, mais il y a également le risque qu'un autre, de plus louable, le trouve également et le signale. Mais je sais pas si ça arrive souvent que des pirates trouvent la même faille...
Avatar de cbleas cbleas - Membre éprouvé http://www.developpez.com
le 08/03/2011 à 19:07
bonjour,
ça illustre surtout que ce n'est pas très sur
Avatar de watermy watermy - Membre régulier http://www.developpez.com
le 09/03/2011 à 2:48
Citation Envoyé par cbleas  Voir le message
bonjour,
ça illustre surtout que ce n'est pas très sur

Surtout quand on voie le POC qui permet d'effectuer le XSS persistant.
Code : Sélectionner tout
<script>alert('XSS');</script>
Nan je suis méchant, il y avait la limite de 4000 caractères qui nous sauve
Avatar de singman singman - Membre actif http://www.developpez.com
le 09/03/2011 à 10:01
L’intérêt de cette news sur l'état d'âme d'un "chercheur" qui aurait pu se mettre 15000 $US dans la poche au lieu de 1300 $US est proche du zéro absolu.
Avatar de Octopod Octopod - Membre du Club http://www.developpez.com
le 10/03/2011 à 14:46
Tout à fait d'accord avec singman.
Avatar de visafacile.net visafacile.net - Nouveau membre du Club http://www.developpez.com
le 12/03/2011 à 19:05
Il ne faut pas regretter une BA... qui a rapporté quelques billets.
Offres d'emploi IT
Ingénieur développement java / python h/f
Sogeti High Tech - Provence Alpes Côte d'Azur - Sophia Antipolis
Intégrateur test h/f
Est - Alsace - Schiltigheim (67300)
Responsable d'exploitation php h/f
altima - Nord Pas-de-Calais - Roubaix (59100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil