L’équipe est parvenue à injecter du code dans le Pixel à distance, en exploitant une faille « zero day » du smartphone. Après l’opération, il est possible de récupérer toutes sortes de données, comme des informations personnelles, et pourquoi pas les coordonnées bancaires.
El l’occurrence, l’équipe de bidouilleurs a pu lancer le Play Store puis une page web sur Chrome affichant la phrase « Pwned by 360 Alpha Team ». Pour ce hack, ces chercheurs ont reçu 120.000 $. Le Pixel n’était pas la seule cible durant la compétition : la sécurité de Safari, le navigateur web d’Apple sous macOS Sierra, est lui aussi tombé… en moins de 20 secondes. Récompense pour les hackers : 100.000 $.
Des concours où l’on peut gagner gros
Entre de mauvaises mains, ces vulnérabilités pourraient faire bien des dégâts, mais fort heureusement les hackers s’engagent à partager leurs découvertes avec les constructeurs et les éditeurs. Dans le cas de Google, la faille a été corrigée dans les 24 heures suivant la démonstration de Séoul.
Ce type de concours permet de stimuler la communauté des hackers « white hat », ces bidouilleurs qui cherchent les failles sans les revendre aux plus offrants (même s’il y a de l’argent à gagner au travers des compétitions). Google, Apple et d’autres ont mis en place des programmes de chasseurs de bugs généralement très bien dotés.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Fixer la faille dans le code d’Androïd en 24h c’est bien, mais avoir le fix dans la ROM de sont téléphone serait mieux. Car là, ça ne se compte plus en jours mais en semaines, mois voir jamais suivant le constructeur et/ou l’opérateur.
La faille safari quant a elle, bizarrement vous n’indiquez pas au bout de combien de temps elle a été fixée. Une chose est sur, une grande majorité de téléphones Apple a déjà reçu le fix à l’heure où j’écris ces lignes.
C’est fatiguant ces articles partisans qui exploitent une une correction rapide de faille de sécurité alors qu’on sait pertinemment que le correctif n’arrivera sur quasiment aucun téléphone Androïd, ou, en tout cas, dans un laps de temps très largement supérieur à 24h, le temps que les constructeurs veuillent bien publier leur ROM mise à jour et que les opérateurs aient bien voulu y intégrer leur surcouche.
La faille Safari n’est pas sur iOS mais sur desktop.
Faut pas dire non plus qu’Apple met à jour ses téléphones tous les jours hein, ils peuvent attendre plusieurs semaines avant de proposer un patch contenant tous les correctifs de sécurité !
Enfin, sous Android, suivant où se situe la faille (par exemple dans Chrome ou les Google Play Services), la MAJ peut être déployée dans les heures qui suivent son correctif. La partie système pure gérée par au niveau des MAJ par les constructeurs s’amenuise de plus en plus sur Android.
Tu oublies la vieille faille webview datant de 2008 qui refait surface dans iOS ces derniers jours… ^^
J’ai posté 2 liens mais apparemment JDG prend son temps pour les afficher.