L’iPhone n’a pas donné beaucoup de fil à retordre à Vincenzo Iozzo et Ralf Philipp Weinmann lors du concours annuel de hacking Pwn2Own qui se tient ces jours-ci à Vancouver (Canada).
En effet, ces deux hackers ont mis au point une technique leur permettant d’avoir rapidement accès aux SMS enregistrés sur un iPhone. En moins de 5 minutes, Vincenzo Iozzi et Ralf Philipp Weinmann ont réussi à exploiter une faille au sein de Safari mobile, redirigeant l’internaute vers un site Web piégé.
Grâce à ce subterfuge, les deux hackers ont réussi à obtenir les privilèges normalement dévolus au vrai possesseur de l’iPhone. De cette manière, ils ont pu introduire une commande obligeant le smartphone à lancer le téléchargement de la base de données SMS vers un serveur distant.
Plusieurs navigateurs n’ont eux aussi pas résisté aux assauts des hackers participant à ce concours. Safari 4 sous Mac OS X Snow Leopard, Internet Explorer 8 et Firefox 3.6 sont ainsi tombés sans avoir opposé de grandes résistances.
La hacker néerlandais Peter Vreugdenhil a réussi à exploiter deux failles de sécurité sous IE8 sous Windows 7 en contournant les protections DEP (Data Execution Prevention) et ASLR ( Address Space Layout Randomization ) du navigateur.
Charlie Miller a, de son côté, réussi à hacker un MacBook en exploitant une vulnérabilité dans Safari, qui permettait d’engendrer une redirection automatique vers un site Web piégé, offrant au pirate d’accéder à l’ensemble des privilèges utilisateurs.
L’année dernière, ce même Charlie Miller avait montré comment prendre le contrôle d’un iPhone à l’insu du détenteur légitime en envoyant du code dans le système de gestion des SMS du terminal.
Firefox 3.6 ne fait pas exception. Le hacker « Nils », responsable de recherche pour MWR InfoSecurity, a pris en défaut le navigateur sous Windows 7. Il est parvenu à exploiter une faille liée à la corruption de la mémoire dans Firefox, qui lui a permis là encore de contourner les protections DEP et ASLR.
Seul Chrome résiste encore aux tentatives de hacking…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…