Pwn2Own 2013 : iOS 6.1.4 et 7.0.3 ainsi que le Galaxy S4 de Samsung conquis
Toutefois la technologie sandbox d'Apple résiste

Le , par Stéphane le calme, Chroniqueur Actualités
Lors de la compétition Pown2Own édition 2013 pour les appareils mobiles qui s'est tenue au Japon, le Samsung Galaxy S4 ainsi que deux versions d'iOS ont été compromis et ont permis aux hackers de remporter près de 70 000 dollars.

Une équipe locale de chercheurs de l'entreprise MBSD (Mitsui Bussan Secure Directions) a perçu une cagnotte qui s'élevait à 40 000 dollars après avoir montré comment ils pouvaient dérober des données sensibles d'un Samsung Galaxy S4 et installer un code d'attaque utilisant des failles dans le logiciel qui est installé en usine sur l'appareil.

L'équipe a exploité de multiples applications installées par défaut sur le Galaxy S4 pour réaliser ces manœuvres. Pour que l'exploit soit un succès, l'utilisateur concerné doit d'abord être dirigé vers un site malveillant contrôlé par l'attaquant. Par la suite, plus aucune interaction de l'utilisateur n'est requise ; l'attaquant peut alors installer des applications arbitraires de son choix avec des privilèges système sur le périphérique de la cible.


Une équipe chinoise de l'entreprise Keen Cloud Tech a montré comment pouvait être exploitées des vulnérabilités sur iOS 6.1.4 et 7.0.3. Pour la première version, en dirigeant l'utilisateur vers un site, les assaillants ont réussi à récupérer les cookies du navigateur Safari. Ils ont par la suite récupéré les informations Facebook des utilisateurs et se sont connectés à partir d'un autre ordinateur. Pour la version plus récente, les chercheurs se sont appuyés sur une faille dans le modèle d'autorisations. Une fois que l'utilisateur a visité une page, les assaillants étaient en mesure de voler une photo du téléphone. Ils n'ont toutefois pas pu contourner la technologie sandbox d'Apple et n'ont donc empoché que 27 500 dollars.

Samsung, Google et Apple ont déjà été contactés pour un débriefing sur les vulnérabilités qui ont été utilisées. Google a été contacté pour vérifier que cette faille n'affecte pas Blink, son moteur de rendu, par mesure de précaution bien qu'il semble déjà que ce ne soit pas le cas.

Sources : HPPwn2Own (Galaxy S4), HPPwn2Own (iOS)

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de RhoManu RhoManu - Membre du Club https://www.developpez.com
le 15/11/2013 à 8:46
Ben y a pas grand chose à en penser. Chaque année, y a ce concours, tous les devices/navigateurs tombent les uns après les autres, tout le monde est gagnant, et voilà.
Offres d'emploi IT
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil