En marge de la conférence de sécurité PacSec à Tokyo au Japon, la troisième édition du concours de hacking Mobile Pwn2Own vient de prendre fin. Un concours doté cette année de plus de 400 000 dollars (en espèces et en prix) qui est organisé par le programme Zero Day Initiative de HP et comptant comme sponsors l'équipe de sécurité Google Android ainsi que Blackberry.

Dans le cadre de ce concours, un hacker - ou plutôt un chercheur en sécurité selon la formule consacrée - dispose de 30 minutes pour mener une attaque à l'encontre d'un terminal mobile dans sa configuration par défaut et équipé de la dernière mise à jour disponible de son système d'exploitation.

Les vulnérabilités utilisées dans l'attaque doivent être de type 0-day (sans correctif) et inédites. Un exploit victorieux (préparé en amont) ne doit pas nécessiter une interaction de l'utilisateur si ce n'est celle pour naviguer sur le contenu malveillant. La démonstration d'une exécution de code à distance doit être faite avec un échappement de sandbox, si une telle protection d'environnement confiné est présente, et l'exfiltration de données sensibles.


Aïe pour NFC
Le décor est planté. Au premier jour du concours, l'iPhone 5S, le Galaxy S5 de Samsung, le Nexus 5 de LG et le Fire Phone d'Amazon n'ont pas résisté. Une équipe sud-coréenne (lokihardt@ASRT) a eu recours à une association de deux bugs pour compromettre l'iPhone 5S via le navigateur Safari. Ces deux vulnérabilités ont permis un échappement complet de la sandbox de Safari.

L'équipe japonaise MBSD a hacké le Galaxy S5 en utilisant pour cela la technologie sans contact NFC comme vecteur d'attaque et en mettant au jour un problème de désérialisation dans un code spécifique de Samsung. Jon Butler de MWR InfoSecurity (Afrique du Sud) a eu recours à une autre approche également centrée sur NFC pour cibler une erreur dans le code d'un programme du Galaxy S5.

Adam-Laurie-Mobile-Pwn2Own Et inquiétant pour Near Field Communication utilisée dans les systèmes de paiement, Adam Laurie d'Aperture Labs (Royaume-Uni) a victorieusement exploité deux bugs ciblant les capacités NFC sur le Nexus 5 (un smartphone fabriqué pour Google). En l'occurrence, il a forcé l'association Bluetooth entre des smartphones.

Le premier jour du concours a pris fin avec des membres de MWR qui ont enchaîné trois bugs pour cibler le navigateur Web du Fire Phone. Au total, ce sont neuf vulnérabilités qui ont été exploitées avec succès lors de cette première journée.

La deuxième journée du Mobile Pwn2Own a été moins prolifique. Le Français Nico Joly de VUPEN a été crédité d'un exploit partiel. Face au Lumia 1520 sous Windows Phone et en ciblant le navigateur mobile, il a pu exfiltrer des données cookie mais n'a pas mis en échec la protection sandbox.

Quant à Juri Aedla venu d'Estonie, son approche utilisant le Wi-Fi avec un Nexus 5 sous Android ne lui a pas permis une élévation de privilèges.

Les nouvelles vulnérabilités mises au jour lors du Pwn2Own Mobile ont été communiquées de manière confidentielle aux vendeurs concernés qui pourront donc les combler et également œuvrer à une meilleure sécurisation de leurs futurs appareils. C'est toujours mieux que de voir de telles failles vendues au marché noir...

Source : HP Security Research