L’iPhone n’a pas donné beaucoup de fil à retordre à Vincenzo Iozzo et Ralf Philipp Weinmann lors du concours annuel de hacking Pwn2Own qui se tient ces jours-ci à Vancouver (Canada).
En effet, ces deux hackers ont mis au point une technique leur permettant d’avoir rapidement accès aux SMS enregistrés sur un iPhone. En moins de 5 minutes, Vincenzo Iozzi et Ralf Philipp Weinmann ont réussi à exploiter une faille au sein de Safari mobile, redirigeant l’internaute vers un site Web piégé.
Grâce à ce subterfuge, les deux hackers ont réussi à obtenir les privilèges normalement dévolus au vrai possesseur de l’iPhone. De cette manière, ils ont pu introduire une commande obligeant le smartphone à lancer le téléchargement de la base de données SMS vers un serveur distant.
Plusieurs navigateurs n’ont eux aussi pas résisté aux assauts des hackers participant à ce concours. Safari 4 sous Mac OS X Snow Leopard, Internet Explorer 8 et Firefox 3.6 sont ainsi tombés sans avoir opposé de grandes résistances.
La hacker néerlandais Peter Vreugdenhil a réussi à exploiter deux failles de sécurité sous IE8 sous Windows 7 en contournant les protections DEP (Data Execution Prevention) et ASLR ( Address Space Layout Randomization ) du navigateur.
Charlie Miller a, de son côté, réussi à hacker un MacBook en exploitant une vulnérabilité dans Safari, qui permettait d’engendrer une redirection automatique vers un site Web piégé, offrant au pirate d’accéder à l’ensemble des privilèges utilisateurs.
L’année dernière, ce même Charlie Miller avait montré comment prendre le contrôle d’un iPhone à l’insu du détenteur légitime en envoyant du code dans le système de gestion des SMS du terminal.
Firefox 3.6 ne fait pas exception. Le hacker “Nils”, responsable de recherche pour MWR InfoSecurity, a pris en défaut le navigateur sous Windows 7. Il est parvenu à exploiter une faille liée à la corruption de la mémoire dans Firefox, qui lui a permis là encore de contourner les protections DEP et ASLR.
Seul Chrome résiste encore aux tentatives de hacking…
Rejoignez la communauté SCIencextrA
.
Articles
Aucun commentaire:
Write comments