Le Pixel de Google craqué en 60 secondes

Smartphone

Par Olivier le

Le Pixel n’aura pas tenu bien longtemps contre une équipe de hackers chinois déterminée à en venir à bout. Pendant le concours PwnFest qui s’est tenu la semaine dernière à Séoul, le smartphone de Google est tombé… en moins d’une minute.

L’équipe est parvenue à injecter du code dans le Pixel à distance, en exploitant une faille « zero day » du smartphone. Après l’opération, il est possible de récupérer toutes sortes de données, comme des informations personnelles, et pourquoi pas les coordonnées bancaires.

El l’occurrence, l’équipe de bidouilleurs a pu lancer le Play Store puis une page web sur Chrome affichant la phrase « Pwned by 360 Alpha Team ». Pour ce hack, ces chercheurs ont reçu 120.000 $. Le Pixel n’était pas la seule cible durant la compétition : la sécurité de Safari, le navigateur web d’Apple sous macOS Sierra, est lui aussi tombé… en moins de 20 secondes. Récompense pour les hackers : 100.000 $.

Des concours où l’on peut gagner gros

Entre de mauvaises mains, ces vulnérabilités pourraient faire bien des dégâts, mais fort heureusement les hackers s’engagent à partager leurs découvertes avec les constructeurs et les éditeurs. Dans le cas de Google, la faille a été corrigée dans les 24 heures suivant la démonstration de Séoul.

Ce type de concours permet de stimuler la communauté des hackers « white hat », ces bidouilleurs qui cherchent les failles sans les revendre aux plus offrants (même s’il y a de l’argent à gagner au travers des compétitions). Google, Apple et d’autres ont mis en place des programmes de chasseurs de bugs généralement très bien dotés.

Source: Source