Durant le PwnFest Séoul, l’équipe chinoise Qihoo 360 a encore fait parler d’elle et a empoché les 120 000 dollars de récompense pour avoir réussi à exploiter une faille du Google Pixel et à en prendre le contrôle à distance. L’exploit restera secret et sera corrigé par Google.
L’exploitation a été réalisée en un temps record de 60 secondes par l’équipe Qihoo 360, qui a réussi à hacker le nouveau smartphone de Google à distance, sans toutefois dévoiler publiquement la vulnérabilité.
La démonstration est édifiante : alors que personne n’avait le smartphone en main, le Play Store s’est ouvert, le navigateur Chrome a été installé puis un message “Pwned by 360 Alpha Team” s’est affiché sur l’écran.
Les développeurs chinois ont récupéré la récompense de 120 000 dollars pour cette découverte et exploitation réussie puis partagée avec le constructeur. L’équipe Qihoo 360 ne s’est as arrêté en si bon chemin et aura touché un total de 520 000 dollars pour d’autres failles découvertes au sein du navigateur Edge de Microsoft et de Adobe Flash.
Notons que la Team Pangu, très connue pour ses jailbreaks d’iOS, a réussi à pirater le navigateur Safari d’Apple sous MacOS Sierra en 20 secondes. Pour cet exploit, ils sont repartis avec 100 000 dollars lors de ce Bug Bounty !
Crédits image : Flickr, Maurizio Pesce