Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Pwn2Own 2013 : iOS 6.1.4 et 7.0.3 ainsi que le Galaxy S4 de Samsung conquis
Toutefois la technologie sandbox d'Apple résiste

Le , par Stéphane le calme

82PARTAGES

3  0 
Lors de la compétition Pown2Own édition 2013 pour les appareils mobiles qui s'est tenue au Japon, le Samsung Galaxy S4 ainsi que deux versions d'iOS ont été compromis et ont permis aux hackers de remporter près de 70 000 dollars.

Une équipe locale de chercheurs de l'entreprise MBSD (Mitsui Bussan Secure Directions) a perçu une cagnotte qui s'élevait à 40 000 dollars après avoir montré comment ils pouvaient dérober des données sensibles d'un Samsung Galaxy S4 et installer un code d'attaque utilisant des failles dans le logiciel qui est installé en usine sur l'appareil.

L'équipe a exploité de multiples applications installées par défaut sur le Galaxy S4 pour réaliser ces manœuvres. Pour que l'exploit soit un succès, l'utilisateur concerné doit d'abord être dirigé vers un site malveillant contrôlé par l'attaquant. Par la suite, plus aucune interaction de l'utilisateur n'est requise ; l'attaquant peut alors installer des applications arbitraires de son choix avec des privilèges système sur le périphérique de la cible.


Une équipe chinoise de l'entreprise Keen Cloud Tech a montré comment pouvait être exploitées des vulnérabilités sur iOS 6.1.4 et 7.0.3. Pour la première version, en dirigeant l'utilisateur vers un site, les assaillants ont réussi à récupérer les cookies du navigateur Safari. Ils ont par la suite récupéré les informations Facebook des utilisateurs et se sont connectés à partir d'un autre ordinateur. Pour la version plus récente, les chercheurs se sont appuyés sur une faille dans le modèle d'autorisations. Une fois que l'utilisateur a visité une page, les assaillants étaient en mesure de voler une photo du téléphone. Ils n'ont toutefois pas pu contourner la technologie sandbox d'Apple et n'ont donc empoché que 27 500 dollars.

Samsung, Google et Apple ont déjà été contactés pour un débriefing sur les vulnérabilités qui ont été utilisées. Google a été contacté pour vérifier que cette faille n'affecte pas Blink, son moteur de rendu, par mesure de précaution bien qu'il semble déjà que ce ne soit pas le cas.

Sources : HPPwn2Own (Galaxy S4), HPPwn2Own (iOS)

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de RhoManu
Membre du Club https://www.developpez.com
Le 15/11/2013 à 8:46
Ben y a pas grand chose à en penser. Chaque année, y a ce concours, tous les devices/navigateurs tombent les uns après les autres, tout le monde est gagnant, et voilà.
1  0