Pwn2Own 2013 : Vulnérabilités 0-Day pour le Samsung Galaxy S4 & l’iPhone 5

1
66

Durant la conférence de sécurité PacSec 2013 à Tokyo, le navigateur Safari d’Apple au sein de l’iPhone 5 et le Samsung Galaxy S4 ont été exploités par deux équipes de pirates White Hat japonais et chinois.

Le concours Pwn2Own 2013 organisé par HP a vu l’équipe japonaise MBSD, remporter 40 000 $ de récompense pour un exploit zero-day permettant le piratage du Samsung Galaxy S4.

Les vulnérabilités permettent à l’attaquant de compromettre entièrement l’appareil de plusieurs façons, par exemple en utilisant la technique en vogue du “drive-by download” pour installer des programmes malveillants sur le téléphone. Pour que l’exploit réussisse, le groupe a attiré un utilisateur vers un site Web malveillant spécifique, et a gagné des privilèges au niveau système et des applications installées qui ont permis à l’équipe de recueillir des informations, y compris les SMS, les contacts et l’historique de navigation de la victime.

Une autre équipe de hackers de Tech Cloud Keen en Chine ont montré comment exploiter une vulnérabilité dans la version iOS 7.0.3 pour voler les identifiants de connexion Facebook et les photos à partir d’un appareil fonctionnant sous iOS 6.1.4. Ils ont gagné 27 500 $ en cash.

Les deux hacks exigeraient une interaction de l’utilisateur, mais n’ont pas pris plus de cinq minutes à être effectués. Les organisateurs du Pwn2Own ont informé Samsung et Apple sur les failles zéro-day et des correctifs devront bientôt être disponibles.

Les commentaires sont fermés.