Developpez.com

Le Club des Développeurs et IT Pro

Un chercheur informe Google d'une faille dans l'Android Market

Et le regrette, il aurait pu gagner le concours de hacking Pwn2Own

Le 2011-03-08 13:16:29, par Hinault Romaric, Responsable .NET
Un chercheur en sécurité a signalé à Google une vulnérabilité pouvant toucher son OS mobile Android. Une faille qu’il aurait pu utiliser lors du concours de hacking Pwn2Own qui se déroule actuellement et auquel il participe.

Jon Oberheide, a découvert une vulnérabilité critique touchant l'Android Market qui pouvait être exploitée par un pirate pour installer à distance des applications malveillantes sur les terminaux Android en incitant les utilisateurs à cliquer sur un lien malveillant.

Pensant que l’utilisation de cette vulnérabilité lors de la compétition de hacking était interdite par le règlement, Oberheide a informé Google de la situation. Google s’est empressé de mettre au point un correctif et de procéder à une mise à jour de l’Android Market.

Cependant, Oberheide apprit un peu plus tard plus tard que l’exploitation de la vulnérabilité n’allait absolument pas à l’encontre des règles du concours. Il aurait pu utiliser sa trouvaille pour gagner 15 000 dollars et le terminal sur lequel est exécutée la preuve de faisabilité.

Dans un billet de blog, Oberheide a manifesté son mécontentement face à la situation« je suis déçu, car je pensais que ce serait super de gagner le Pwn2Own avec une vulnérabilité de XSS boiteux », écrit-il.

Jon Oberheide n'a pas pour autant tout perdu. Il aurait reçu la prime officielle de 1337 dollars de Google pour avoir signalé la faille.

Source : Blog Jon Oberheide
  Discussion forum
8 commentaires
  • PerlPicker
    Membre du Club
    cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.
    le 08/03/2011 à 14:36
  • Priato
    Membre habitué
    Envoyé par PerlPicker
    cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.
    Oui, mais il y a également le risque qu'un autre, de plus louable, le trouve également et le signale. Mais je sais pas si ça arrive souvent que des pirates trouvent la même faille...
    le 08/03/2011 à 15:09
  • watermy
    Membre régulier
    Envoyé par cbleas
    bonjour,
    ça illustre surtout que ce n'est pas très sur
    Surtout quand on voie le POC qui permet d'effectuer le XSS persistant.
    Code : 
    <script>alert('XSS');</script>
    Nan je suis méchant, il y avait la limite de 4000 caractères qui nous sauve
    le 09/03/2011 à 2:48
  • visafacile.net
    Nouveau membre du Club
    Il ne faut pas regretter une BA... qui a rapporté quelques billets.
    le 12/03/2011 à 19:05
  • NameX
    Membre actif
    ça illustre que la prochaine fois il l'a vendra à quelqu'un de malveillant !
    le 08/03/2011 à 15:01
  • Octopod
    Membre du Club
    Tout à fait d'accord avec singman.
    le 10/03/2011 à 14:46
  • cbleas
    Membre éprouvé
    bonjour,
    ça illustre surtout que ce n'est pas très sur
    le 08/03/2011 à 19:07
  • singman
    Membre averti
    L’intérêt de cette news sur l'état d'âme d'un "chercheur" qui aurait pu se mettre 15000 $US dans la poche au lieu de 1300 $US est proche du zéro absolu.
    le 09/03/2011 à 10:01
  Poster une réponse