En marge de la conférence de sécurité PacSec qui vient de se dérouler à Tokyo au Japon, un concours de hacking baptisé Mobile Pwn2Own a été organisé sous l'égide du programme Zero Day Initiative de HP et avec pour sponsors les équipes de sécurité de Google Android, Chrome et Blackberry.
Contrairement à son homologue plus célèbre Pwn2Own qui a lieu chaque année pour la CanSecWest à Vancouver et cible l'ordinateur de bureau via les navigateurs, le Mobile Pwn2Own a ciblé les appareils... mobiles.
À l'issue de ce concours, ce sont 117 500 dollars qui ont été distribués aux participants. Au premier jour, l'équipe chinoise Keen a présenté deux exploits contre le navigateur Safari sur un iPhone 5. Sous iOS 7.0.3, un exploit a permis de dérober des identifiants de connexion Facebook. Sous iOS 6.1.4, l'autre exploit a permis de voler une photo prise avec l'iPhone. À chaque fois, il a été nécessaire de cliquer sur un lien.
La team MBSD ( Mitsui Bussan Secure Directions ) du Japon a " hacké " un Samsung Galaxy S4 en exploitant des vulnérabilités dans des applications installées par défaut sur ce smartphone. On ne sait pas quelles applications mais selon le compte-rendu de HP, l'attaque a été " élégante " et saluée par les chercheurs en sécurité présents. Après consultation d'un site Web malveillant, un malware a pu être installé de manière silencieuse sur le terminal et permettre le vol de données dont les contacts de l'utilisateur, marque-pages, historique de navigation, captures d'écran, messages SMS...
Au deuxième jour du concours, le Galaxy S4 est une nouvelle fois tombé mais en compagnie du Nexus 4 suite à une compromission de Chrome. Via un lien piégé, le hacker sous le pseudonyme de Pinkie Pie est parvenu à exploiter une vulnérabilité de dépassement d'entier et se dépatouiller avec la protection sandbox. Un dernier point qui est rare pour Chrome mais Pinkie Pie est une vieille connaissance de Google à maintes fois récompensé.
Hors concours, des chercheurs de l'équipe organisatrice ont par ailleurs fait la démonstration d'un exploit pour Internet Explorer 11 sur une tablette Surface Pro de Microsoft fonctionnant avec Windows 8.1 et sont passés outre les protections ASLR et DEP. Ils ont notamment lancé la calculatrice calc.exe depuis le navigateur.
Quand les hackers cherchent... ils trouvent. HP souligne néanmoins que les vulnérabilités exploitées pour la compromission de données n'avaient rien de triviales. " Ce n'est pas un concours pour les script kiddies ".
Il n'y aura bien évidemment pas de divulgation publique. Les intéressés seront informés des problèmes mis au jour afin de pouvoir les corriger.
