L'iPhone et le MacBook n'ont pas tenu bien longtemps face aux assauts des hackers dans le cadre du concours organisé par CanSecWest. Cependant, ils ne sont pas seuls : Firefox et Internet Explorer ont également cédé.
Organisé chaque année, ce concours propose à des hackers de prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome. La grande nouveauté cette année : l'arrivée des terminaux mobiles dont l'iPhone.
Vincenzo Iozzo et Ralf Philipp Weinmann sont parvenus à récupérer en vingt secondes l'intégralité des SMS stockés sur l'iPhone, même ceux qui avaient été effacés. Pour prendre le contrôle du terminal d’Apple, ils ont mis au point une page web malicieuse capable d'exploiter une faille, leur permettant se faire passer pour l'utilisateur "Mobile" et d'avoir les mêmes privilèges que ce dernier. Ils peuvent donc faire tout ce que "Mobile" est autorisé de faire. Il suffit d'amener Safari vers la page en question et le tour est joué.
Le programme qu'ils ont écrit se "contente" d'envoyer les données de la base de données SMS vers un serveur distant. L'opération se déroule tandis que Safari fait mine de télécharger une page web. À la fin, l'iPhone plante. Toutefois, d'après eux, en peaufinant un peu le code, il est tout à fait possible d'effectuer la même opération "de manière totalement transparente pour l'utilisateur".
Ils précisent qu'ils se sont attaqués aux SMS, mais auraient tout aussi bien pu envoyer d'autres données comme les données stockées dans Mail, Carnet d'adresses ou encore l'application Photo.
Il a fallu deux semaines à Vincenzo Iozzo et Ralf Philipp Weinmann pour détecter la faille et écrire un programme l'exploitant. Les deux hommes vont repartir du concours avec 15 000 $ en poche et l'iPhone qui a servi de cobaye.
De son côté, Charlie Miller a réussi pour la troisième année de suite à hacker un MacBook, en exploitant une faille de Safari. Là encore, le navigateur d'Apple s'est fait piéger par une page malicieuse. Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell.
Les appareils d’Apple ne sont pas les seuls à avoir été piégés, un PC équipé de Windows 7 et d'Internet Explorer 8 n'a pas résisté aux assauts de Peter Vreugdenhil.
Précisons que tous les ordinateurs étaient à jour. D'autre part, les failles exploitées n'ont pas été entièrement révélées pour des raisons de sécurité. Elles seront dans un premier temps transmises aux sociétés concernées puis présentées en détail lorsqu'elles auront été corrigées.
[MAJ] Le couple Firefox/Windows 7 a lui aussi été pris en défaut.
Sur le même sujet :
- Interview : Apple et la sécurité
Organisé chaque année, ce concours propose à des hackers de prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome. La grande nouveauté cette année : l'arrivée des terminaux mobiles dont l'iPhone.
Vincenzo Iozzo et Ralf Philipp Weinmann sont parvenus à récupérer en vingt secondes l'intégralité des SMS stockés sur l'iPhone, même ceux qui avaient été effacés. Pour prendre le contrôle du terminal d’Apple, ils ont mis au point une page web malicieuse capable d'exploiter une faille, leur permettant se faire passer pour l'utilisateur "Mobile" et d'avoir les mêmes privilèges que ce dernier. Ils peuvent donc faire tout ce que "Mobile" est autorisé de faire. Il suffit d'amener Safari vers la page en question et le tour est joué.
Le programme qu'ils ont écrit se "contente" d'envoyer les données de la base de données SMS vers un serveur distant. L'opération se déroule tandis que Safari fait mine de télécharger une page web. À la fin, l'iPhone plante. Toutefois, d'après eux, en peaufinant un peu le code, il est tout à fait possible d'effectuer la même opération "de manière totalement transparente pour l'utilisateur".
Ils précisent qu'ils se sont attaqués aux SMS, mais auraient tout aussi bien pu envoyer d'autres données comme les données stockées dans Mail, Carnet d'adresses ou encore l'application Photo.
Il a fallu deux semaines à Vincenzo Iozzo et Ralf Philipp Weinmann pour détecter la faille et écrire un programme l'exploitant. Les deux hommes vont repartir du concours avec 15 000 $ en poche et l'iPhone qui a servi de cobaye.
De son côté, Charlie Miller a réussi pour la troisième année de suite à hacker un MacBook, en exploitant une faille de Safari. Là encore, le navigateur d'Apple s'est fait piéger par une page malicieuse. Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell.
Les appareils d’Apple ne sont pas les seuls à avoir été piégés, un PC équipé de Windows 7 et d'Internet Explorer 8 n'a pas résisté aux assauts de Peter Vreugdenhil.
Précisons que tous les ordinateurs étaient à jour. D'autre part, les failles exploitées n'ont pas été entièrement révélées pour des raisons de sécurité. Elles seront dans un premier temps transmises aux sociétés concernées puis présentées en détail lorsqu'elles auront été corrigées.
[MAJ] Le couple Firefox/Windows 7 a lui aussi été pris en défaut.
Sur le même sujet :
- Interview : Apple et la sécurité