Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur informe Google d'une faille dans l'Android Market
Et le regrette, il aurait pu gagner le concours de hacking Pwn2Own

Le , par Hinault Romaric

0PARTAGES

3  0 
Un chercheur en sécurité a signalé à Google une vulnérabilité pouvant toucher son OS mobile Android. Une faille qu’il aurait pu utiliser lors du concours de hacking Pwn2Own qui se déroule actuellement et auquel il participe.

Jon Oberheide, a découvert une vulnérabilité critique touchant l'Android Market qui pouvait être exploitée par un pirate pour installer à distance des applications malveillantes sur les terminaux Android en incitant les utilisateurs à cliquer sur un lien malveillant.

Pensant que l’utilisation de cette vulnérabilité lors de la compétition de hacking était interdite par le règlement, Oberheide a informé Google de la situation. Google s’est empressé de mettre au point un correctif et de procéder à une mise à jour de l’Android Market.

Cependant, Oberheide apprit un peu plus tard plus tard que l’exploitation de la vulnérabilité n’allait absolument pas à l’encontre des règles du concours. Il aurait pu utiliser sa trouvaille pour gagner 15 000 dollars et le terminal sur lequel est exécutée la preuve de faisabilité.

Dans un billet de blog, Oberheide a manifesté son mécontentement face à la situation« je suis déçu, car je pensais que ce serait super de gagner le Pwn2Own avec une vulnérabilité de XSS boiteux », écrit-il.

Jon Oberheide n'a pas pour autant tout perdu. Il aurait reçu la prime officielle de 1337 dollars de Google pour avoir signalé la faille.

Source : Blog Jon Oberheide

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de PerlPicker
Membre du Club https://www.developpez.com
Le 08/03/2011 à 14:36
cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.
6  0 
Avatar de Priato
Membre habitué https://www.developpez.com
Le 08/03/2011 à 15:09
Citation Envoyé par PerlPicker Voir le message
cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.
Oui, mais il y a également le risque qu'un autre, de plus louable, le trouve également et le signale. Mais je sais pas si ça arrive souvent que des pirates trouvent la même faille...
1  0 
Avatar de watermy
Membre régulier https://www.developpez.com
Le 09/03/2011 à 2:48
Citation Envoyé par cbleas Voir le message
bonjour,
ça illustre surtout que ce n'est pas très sur
Surtout quand on voie le POC qui permet d'effectuer le XSS persistant.
Code : Sélectionner tout
<script>alert('XSS');</script>
Nan je suis méchant, il y avait la limite de 4000 caractères qui nous sauve
0  0 
Avatar de visafacile.net
Nouveau membre du Club https://www.developpez.com
Le 12/03/2011 à 19:05
Il ne faut pas regretter une BA... qui a rapporté quelques billets.
0  0 
Avatar de NameX
Membre actif https://www.developpez.com
Le 08/03/2011 à 15:01
ça illustre que la prochaine fois il l'a vendra à quelqu'un de malveillant !
1  2 
Avatar de Octopod
Membre du Club https://www.developpez.com
Le 10/03/2011 à 14:46
Tout à fait d'accord avec singman.
0  1 
Avatar de cbleas
Membre éprouvé https://www.developpez.com
Le 08/03/2011 à 19:07
bonjour,
ça illustre surtout que ce n'est pas très sur
0  2 
Avatar de singman
Membre actif https://www.developpez.com
Le 09/03/2011 à 10:01
L’intérêt de cette news sur l'état d'âme d'un "chercheur" qui aurait pu se mettre 15000 $US dans la poche au lieu de 1300 $US est proche du zéro absolu.
1  3