L’iPhone, Internet Explorer, Safari et Firefox ne résistent pas aux assauts des hackers

CloudMobilitéSmartphones

A l’occasion du concours Pwn2Own de Vancouver, des hackers sont parvenus à exploiter des failles de sécurité pour « cracker  » l’iPhone, mais aussi les grands navigateurs du marché.

L’iPhone n’a pas donné beaucoup de fil à retordre à Vincenzo Iozzo et Ralf Philipp Weinmann lors du concours annuel de hacking Pwn2Own qui se tient ces jours-ci à Vancouver (Canada).

En effet, ces deux hackers ont mis au point une technique leur permettant d’avoir rapidement accès aux SMS enregistrés sur un iPhone.  En moins de 5 minutes, Vincenzo Iozzi et Ralf Philipp Weinmann ont réussi à exploiter une faille au sein de Safari mobile, redirigeant l’internaute vers un site Web piégé.

Grâce à ce subterfuge, les deux hackers ont réussi à obtenir les privilèges normalement dévolus au vrai possesseur de l’iPhone. De cette manière, ils ont pu introduire une commande obligeant le smartphone à lancer le téléchargement de la base de données SMS vers un serveur distant.

Plusieurs navigateurs n’ont eux aussi pas résisté aux assauts des hackers participant à ce concours. Safari 4 sous Mac OS X Snow Leopard, Internet Explorer 8 et Firefox 3.6 sont ainsi tombés sans avoir opposé de grandes résistances.

La hacker néerlandais Peter Vreugdenhil a réussi à exploiter deux failles de sécurité sous IE8 sous Windows 7 en contournant les protections DEP (Data Execution Prevention) et ASLR ( Address Space Layout Randomization ) du navigateur.

Charlie Miller a, de son côté, réussi à hacker un MacBook en exploitant une vulnérabilité dans Safari, qui permettait d’engendrer une redirection automatique vers un site Web piégé, offrant au pirate d’accéder à l’ensemble des privilèges utilisateurs.

L’année dernière, ce même Charlie Miller avait montré comment prendre le contrôle d’un iPhone à l’insu du détenteur légitime en envoyant du code dans le système de gestion des SMS du terminal.

Firefox 3.6 ne fait pas exception. Le hacker « Nils », responsable de recherche pour MWR InfoSecurity, a pris en défaut le navigateur sous Windows 7. Il est parvenu à exploiter une faille liée à la corruption de la mémoire dans Firefox, qui lui a permis là encore de contourner les protections DEP et ASLR.

Seul Chrome résiste encore aux tentatives de hacking…

Lire aussi :