IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pwn2Own 2011 : BlackBerry et l'iPhone 4 vaincus lors du concours de hacking
Les produits Google demeurent intouchés

Le , par Katleen Erna
24 commentaires

48PARTAGES

0  0 
Pwn2Own 2011 : BlackBerry et l'iPhone 4 vaincus lors du concours de hacking, les produits Google demeurent intouchés
Mise à jour du 11.03.2011 par Katleen

Pour sa deuxième journée, le Pwn2Own a encore fait quelques victimes, mais en a aussi épargné certains.

Les victimes potentielles de la journée étaient les systèmes d'exploitation mobile mais aussi Firefox (3.6), le navigateur qui n'avait pas été malmené hier. Seulement, Sam Dash, qui devait lui régler son compte, ne s'est pas présenté au concours. "Je ne peux pas écrire une code d'exploitation viable" pour ce challenge, s'est-il justifié.

En revanche, l'iPhone 4 et le BlackBerry Torch sont tombés.

Pour le smartphone d'Apple, cracké par Charlie Miller et Dion Blazakis, c'est une faille de SafariMobile (qui est déjà corrigée dans iOS 4.3 grâce à l'ASLR) qui a été exploitée, en passant par un site malicieux. Les chercheurs ont travaillé sur la version 4.2.1 du l'OS de la Pomme et ont réussi à s'introduire dans un iPhone 4 pour en voler les données et en prendre le contrôle. Récompense : 15.000 $.

De leur côté, Willem Pinckaers et Vincenzo Iozzo ont vaincu un BlackBerry Torch 9800 et son OS version 6.0.0.246. Pour cela, ils ont exploité une faille dans WebKit (moteur de rendu des pages Internet) passant par un site Web qui a exécuté un code malveillant en contournant les barrières de sécurité présentes. Ils ont ainsi pu dérober la totalité des contacts et des images contenus dans l'appareil, mais aussi écrire avec. L'absence d'ASLR et de DEP les y a grandement aidés. Gain : 15.000 $.

Précisons enfin que Windows Phone (sur Dell venue) et Android (sur le Nexus S) sont restés invaincus, personne ne s'étant présenté pour les affronter malgré trois inscriptions pour le premier et quatre pour le second (concernant l'OS mobile de Google, un hacker a prévenu la firme de la faille qu'il comptait exploiter. La correction de cette dernière a rendu son action impossible lors du concours).

La suite demain, avec la dernière journée du concours.

Les faibles barrières de sécurité en place sur BlackBerry vous choquent-elles ?

Pourquoi les produits Google (hier Chrome, aujourd'hui Android) n'ont-ils pas été exploités ?

Une erreur dans cette actualité ? Signalez-nous-la !

24 commentaires
Commenter Signaler un problème
Flaburgan
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 13/03/2011 à 10:41
Ils n'attaquent pas les beta ou les release candidate. C'est pareil pour Firefox, ils se sont attaqués, ou auraient du, à la 3.6
1  0 
Flaburgan
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 28/03/2011 à 9:49
Bonjour,
Tu es ici dans une news, un topic sur l'actualité, il n'est donc pas fait pour traiter des problèmes particuliers. Si tu veux que l'on t'aide, poste ta question dans le forum approprié, en l'occurence Sytème => Mobile.
1  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 11/03/2011 à 18:46
concernant l'OS mobile de Google, un hacker a prévenu la firme de la faille qu'il comptait exploiter. La correction de cette dernière a rendu son action impossible lors du concours
En effet, il s’agissait d'une simple faille de type XSS sur le Market d'Android. Comme il pensait que ce type de faille n'était pas recevable pour ce concours, il l'a signalée a Google.

Il n'a su qu'après que ce genre d'exploit était autorisé. Et hop! 15000$ de perdus
0  0 
GCSX_
Avatar de GCSX_
Membre confirmé https://www.developpez.com
Le 13/03/2011 à 0:02
Comme le dit gwinyam, 2 des failles utilisés sont dans le WebKit. Si je ne me trompe pas il est utilisé dans Chrome et FireFox? Se pourrait-il que les même failles puissent toucher ces derniers?

Autre chose : IE8 à été visé et exploité. Celà n'a rien d'étonnant beaucoup de failles non comblés était déjà connus bien avant le début du concours (je ne sais pas lesquelles ont été utilisés, cependant). Mais qu'en est-il d'IE9? N'est-il pas disponible car il n'est pas encore officiellement sorti? Ou est-ce parce que pesonne n'a tenté de l'attaquer?
0  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 13/03/2011 à 11:27
Citation Envoyé par GCSX_
Comme le dit gwinyam, 2 des failles utilisés sont dans le WebKit. Si je ne me trompe pas il est utilisé dans Chrome et FireFox? Se pourrait-il que les même failles puissent toucher ces derniers?
Le problème est bien dans webkit mais il semblerait que Apple ait tardé a faire les corrections de sécurité par rapport à Chrome. La correction d'Apple est arrivé trop tard pour être dans le concours.
Firefox, quant à lui n'est pas impacté car il n'utilise pas Webkit, mais le moteur de la fondation Mozilla : Gecko.
0  0 
air-dex
Avatar de air-dex
Membre expert https://www.developpez.com
Le 14/03/2011 à 0:39
Citation Envoyé par Flaburgan Voir le message
Ils n'attaquent pas les beta ou les release candidate. C'est pareil pour Firefox, ils se sont attaqués, ou auraient du, à la 3.6
Faux !
Citation Envoyé par Pwn2Own 2011
This year the web browser targets will be the latest release candidate (at the time of the contest) of the following products:
Firefox 4 RC1 étant sorti le 9 Mars et le concours ayant eu lieu le 11, certains auraient pu essayer de le hacker, non ? Mais à vaincre sans péril, on triomphe sans gloire.

Sinon dommage qu'il n'y ait pas eu de Symbian^3 dans les mobiles à hacker.
0  0 
stephgil29
Avatar de stephgil29
Membre actif https://www.developpez.com
Le 14/03/2011 à 9:44
A mes yeux on peut en retirer un grand point positif de tous ça. Les développeurs de navigateur, logiciels, système d'exploitation, propriétaire ou open source, font de gros efforts pour la sécurité de leurs produits. Fini l'époque de IE6, farci jusqu'à la moelle de faille mais que l'on ne corrige pas.
Même si il reste du travail à faire, je pense que l'on peut saluer les efforts consentis.
Je sais bien que c'est sous la pression de la communauté des utilisateurs, développeurs, expert en sécurité, des médias que les constructeurs ont réagis.
Mais ça avance dans le bon sens, donc saluons les efforts mais sans relâcher la garde
Je pense qu'ils sont sur la bonne voie.
0  0 
ninfomane
Avatar de ninfomane
Nouveau membre du Club https://www.developpez.com
Le 14/03/2011 à 12:11
Encore une fois, les failles ne viennent pas des OS mêmes. Les exploits ont été réussis par Webkit dans tous les cas. Que les vulnérabilités viennent de Blackberry ou iOS, ou même Android, reste encore à prouver.
0  0 
Mormegil
Avatar de Mormegil
Membre du Club https://www.developpez.com
Le 16/03/2011 à 12:20
Citation Envoyé par GCSX_ Voir le message
Comme le dit gwinyam, 2 des failles utilisés sont dans le WebKit. Si je ne me trompe pas il est utilisé dans Chrome et FireFox? Se pourrait-il que les même failles puissent toucher ces derniers?
Ce n'est pas le cas pour Firefox qui utilise Gecko mais effectivement Chrome est basé lui aussi sur Webkit.
Mais les hackers n'ont pas pu se servir de cette faille car Google a mis en place un système appelé Sandbox sur Chrome qui encapsule et empêche par une faille de Webkit de prendre le contrôle de la machine.
0  0 
sebsalcedo
Avatar de sebsalcedo
Nouveau Candidat au Club https://www.developpez.com
Le 25/03/2011 à 14:49
Bonjour,

j'ai un iphone 4 et je voudrai savoir si je peux utiliser java? Comment faire? J'ai déjà essayé avec cydia mais je n'arrive pas à le faire fonctionner car une fois installé il faut ajouté des sources et je n'en ai pas!!
0  3 
Commenter Signaler un problème