À Tokyo au Japon, une nouvelle édition du concours de hacking Mobile Pwn2Own vient de se dérouler sous l'égide de Zero Day Initiative de Trend Micro. L'équipe chinoise Tencent Keen Security Lab repart avec 215 000 $ et le titre de Master of Pwn. À son tableau de chasse, l'iPhone 6s d'Apple et le Nexus 6P de Google équipés de la dernière version disponible d'iOS et Android.
559€ sur Amazon* * Prix initial de vente : 559€.
Pour l'iPhone 6s, les hackers ont exploité deux vulnérabilités dans le moteur de rendu et la sandbox afin de dérober des photos sur l'appareil (52 500 $). Ils sont également parvenus à installer une application malveillante mais celle-ci n'a pas résisté à un redémarrage, et ainsi un succès partiel (60 000 $).
Avec le Nexus 6P, deux bugs différents ont été associés avec des faiblesses dans Android pour installer une application malveillante. L'attaque a été répétée trois fois (102 500 $). Dans le cadre du concours, un vecteur d'attaque devait être l'accès à du contenu piégé depuis le navigateur par défaut ou un SMS / MMS malveillant.
Les vulnérabilités mises au jour sont communiquées aux éditeurs affectés, et donc ici Apple et Google qui pourront les combler. À noter que la team Tencent Keen Security Lab a pu compromettre un iPhone 6s alors même qu'elle a dû s'adapter à la toute fraîche mise à jour iOS 10.1.
Even with last minute update of 10.1 which made us work overnight, we success finally @Cloudlldb @fuyubin1993 @marcograss @chenliang0817 pic.twitter.com/zUtSZswDbx
— KEENLAB (@keen_lab) 26 octobre 2016
L'équipe chinoise Tencent Keen Security Lab fait fréquemment parler d'elle, comme le mois dernier avec la prise de contrôle à distance d'une Tesla Model S. Rien ne semble devoir leur résister...
