Dans le cadre du concours de hacking PwnFest 2016 qui vient de se dérouler à Séoul en Corée du Sud, l'équipe chinoise de l'éditeur de solutions de sécurité Qihoo 360 est parvenue à hacker un tout nouveau smartphone Google Pixel en moins d'une minute.

Google Pixel coloris Via leur attaque, ces hackers white hat ont rendu le Google Pixel vulnérable à une exécution de code à distance. Pour cela, leur exploit s'est appuyé sur une vulnérabilité 0-day. Ils ont ainsi pu lancer le Google Play Store avant d'ouvrir le navigateur Google Chrome et afficher une page Web avec pour inscription : Pwned By 360 Alpha Team.

Cet exploit a permis à ces hackers éthiques de faire la démonstration de leur talent et d'obtenir la somme de 120 000 $. Leur exploit n'a pas été rendu public mais a été communiqué à Google qui a pu mettre au point un patch pour Chrome. Un patch en moins de 24 heures, rapporte The Register.

À son tableau de chasse, l'équipe de Qihoo 360 a également ajouté Microsoft Edge, VMware Workstation et Adobe Flash. Elle a obtenu le titre de Lord of Pwn et 530 000 dollars au total. Pour autant, elle n'était pas la seule équipe en lice.

Une équipe formée de hackers de Pangu et JH a remporté 100 000 $ en exploitant une vulnérabilité dans le navigateur Safari et en obtenant un accès root sur macOS Sierra. L'équipe chinoise Pangu est surtout connue pour le jailbreak d'iOS. En marge du concours, un de ses membres a confirmé la faisabilité du jailbreak d'iOS 10.1.1.

Connu en tant que Lokihardt, un hacker sud-coréen a gagné près de 300 000 $ en s'attaquant avec succès à Microsoft Edge et VMWare Workstation. Il n'y a par contre pas eu de participant en lice pour le piratage de l'iPhone 7 Plus. Dommage, sachant que le responsable sécurité d'Android chez Google a récemment affirmé que les smartphones Pixel et Pixel XL ont un niveau de protection comparable à celui des iPhone.

Pour le PwnFest 2016, toutes les cibles devaient être à jour et configurées avec leurs paramètres par défaut. Chaque participant disposait de trois tentatives pour la démonstration d'un exploit. Au-delà de 4 minutes, une tentative était considérée nulle.

Le PwnFest est un nouveau concours de hacking dans le cadre d'une conférence sur la cybersécurité en Corée du Sud sous l'égide de Power of Community (POC). Il a pour particularité de couvrir des cibles sur l'ordinateur, mobile et machine virtuelle. Tous les participants confient leurs trouvailles aux éditeurs concernés (Microsoft, Google, Adobe, Apple et VMware) et sponsors afin qu'ils puissent mettre au point des correctifs. C'est toujours mieux que des exploits vendus au marché noir...