Pwn2Own 2011 : BlackBerry et l'iPhone 4 vaincus lors du concours de hacking

[Katleen Erna]

Pwn2Own 2011 : BlackBerry et l'iPhone 4 vaincus lors du concours de hacking, les produits Google demeurent intouchés
Mise à jour du 11.03.2011 par Katleen

Pour sa deuxième journée, le Pwn2Own a encore fait quelques victimes, mais en a aussi épargné certains.

Les victimes potentielles de la journée étaient les systèmes d'exploitation mobile mais aussi Firefox (3.6), le navigateur qui n'avait pas été malmené hier. Seulement, Sam Dash, qui devait lui régler son compte, ne s'est pas présenté au concours. "Je ne peux pas écrire une code d'exploitation viable" pour ce challenge, s'est-il justifié.

En revanche, l'iPhone 4 et le BlackBerry Torch sont tombés.

Pour le smartphone d'Apple, cracké par Charlie Miller et Dion Blazakis, c'est une faille de SafariMobile (qui est déjà corrigée dans iOS 4.3 grâce à l'ASLR) qui a été exploitée, en passant par un site malicieux. Les chercheurs ont travaillé sur la version 4.2.1 du l'OS de la Pomme et ont réussi à s'introduire dans un iPhone 4 pour en voler les données et en prendre le contrôle. Récompense : 15.000 $.

De leur côté, Willem Pinckaers et Vincenzo Iozzo ont vaincu un BlackBerry Torch 9800 et son OS version 6.0.0.246. Pour cela, ils ont exploité une faille dans WebKit (moteur de rendu des pages Internet) passant par un site Web qui a exécuté un code malveillant en contournant les barrières de sécurité présentes. Ils ont ainsi pu dérober la totalité des contacts et des images contenus dans l'appareil, mais aussi écrire avec. L'absence d'ASLR et de DEP les y a grandement aidés. Gain : 15.000 $.

Précisons enfin que Windows Phone (sur Dell venue) et Android (sur le Nexus S) sont restés invaincus, personne ne s'étant présenté pour les affronter malgré trois inscriptions pour le premier et quatre pour le second (concernant l'OS mobile de Google, un hacker a prévenu la firme de la faille qu'il comptait exploiter. La correction de cette dernière a rendu son action impossible lors du concours).

La suite demain, avec la dernière journée du concours.

Les faibles barrières de sécurité en place sur BlackBerry vous choquent-elles ?

Pourquoi les produits Google (hier Chrome, aujourd'hui Android) n'ont-ils pas été exploités ?


Pwn2Own 2011 : Safari vaincu en 5 secondes, Internet Explorer 8 exploité

La célèbre compétition de hacking Pwn2Own, qui se déroule une fois par an à Vancouver, a commencé hier. Et à l'occasion de cette première journée, deux navigateurs ont été franchement asticotés.

Les spécialistes de la sécurité informatique qui participent au concours devaient choisir chacun un browser à malmener. Et ces derneirs...ont délaissé Firefox, qui n'a été choisi par personne ! Puis, un seul a décidé de s'occuper de Chrome, mais il ne s'est jamais présenté. Les autres concurrents se sont quant à eux concentrés sur Internet Explorer et Safari.

Et le logiciel d'Apple n'aura pas résisté très longtemps. Ainsi, en cette première journée, Safari 5.0.3 est tombé après 5 secondes, sous les manipulations de l'équipe de Vupen Security, une société française, qui a empoché les 15.000 dollars offerts par Cupertino.

Le navigateur tournait sur une version 64 bits de Mac OS X 10.6.6 et a succombé à une faille zero-day. La team Vupen a simplement dirigé Safari sur un site contenant un code malicieux qu'elle avait préparé, qui a exploité une vulnérabilité de Webkit. Une faille qui avait été corrigée hier par Apple, mais le patch est arrivé trop tard pour être intégré au browser avant la compétition.

Que Microsoft ne se réjouisse pas trop vite, car Internet Explorer 8 a rendu les armes peu après. Il était exécuté sur Windows 7 en 64-bits et n'a pas résisté à Stephen Fewer, un irlandais qui a exploité trois vulnérabilités et remporté lui aussi 15.000 dollars. Il a lancé la calculatrice du système d'exploitation via IE8.

La suite demain, avec les attaques sur smartphones.

Source : CanSecWest

[Neko]

Bien dommage que personne ne ce soit attaqué à firefox chrome ( et opera, s'il était dispo )...

[Uther]

Il y a certainement du monde qui s'est penché sur le sujet, mais qui n'avaient pas de failles exploitables sous le coude.
Les gens qui participent a ce concours se sont bien sur préparés auparavant. S'ils n'ont pas, ne serais-ce qu'un angle d'attaque sur un navigateur après y avoir passé pas mal de temps, il y a peu de chance qu'il y arrivent en quelque heures.

Il faut dire que Firefox et Chrome ont tous les deux eu droit a un gros patch de sécurité une semaine avant, corrigeant beaucoup de failles. Il est fort probable que des failles que les participants souhaitaient exploiter aient été corrigées.

[ProgVal]

C'est quoi la fameuse faille dans Safari ?

[saad.hessane]

Oui mais comme dit dans la news personne ne c'est inscrit. Donc même avant le patch de la semaine dernière personne n'a voulu s'attaquer à firefox...

[GrandNoliv]

Citation:

Envoyé par Uther

Il faut dire que Firefox et Chrome ont tous les deux eu droit a un gros patch de sécurité une semaine avant, corrigeant beaucoup de failles. Il est fort probable que des failles que les participants souhaitaient exploiter aient été corrigées.

Et le patch de Safari également sorti tout récemment... n'a pas été appliqué !!!! On se demande pourquoi... La version actuelle est la 5.0.4 et ils ont attaqué la 5.0.3

Soit.

Ça fait un joli titre "Safari vaincu en 5 secondes"… c'est vrai que c'est impressionnant de voir du code s'exécuter en 5 secondes... et peu importe que le hack ait été codé en deux semaines, Safari a été vaincu en 5 secondes.

Oh well...

[seblutfr]

Citation:

Envoyé par GrandNoliv

Et le patch de Safari également sorti tout récemment... n'a pas été appliqué !!!! On se demande pourquoi... La version actuelle est la 5.0.4 et ils ont attaqué la 5.0.3

Soit.

Ça fait un joli titre "Safari vaincu en 5 secondes"… c'est vrai que c'est impressionnant de voir du code s'exécuter en 5 secondes... et peu importe que le hack ait été codé en deux semaines, Safari a été vaincu en 5 secondes.

Oh well...

Parce que justement le règlement du concours précise que la version à attaquer est celle en vigueur 20 jours (je crois) avant la date du concours, pour que les participants aient le temps de préparer leurs recherches.
La règle est la même pour tous.

[GrandNoliv]

C’est faux.

Les règles publiées indiquent clairement :

Citation:

This year the web browser targets will be the latest release candidate (at the time of the contest) of the following products:

Microsoft Internet Explorer
Apple Safari
Mozilla Firefox
Google Chrome

Each browser will be installed on a 64-bit system running the latest version of either OS X or Windows 7.

Source : le lien donné pour lire les règles sur le site officiel : http://dvlabs.tippingpoint.com/blog/...2/pwn2own-2011

Pire, de ce que j’ai pu lire sur arstechnica.com, les autres navigateurs ont effectivement profité des dernières mises à jour parues la semaine dernière.

Ma conclusion n’est certainement pas que Safari est plus sûr que tel ou tel navigateur, mais que ce concours est une vraie farce qui se plaît à faire des gros titres comme celui de cette news, avec du vent.

[Flaburgan]

Même pas d'essai sur les autres navigateurs, c'est effectivement décevant... Je ne veux plus entendre "chrome a survécu à tout les Pown2Own", tu parles, personne n'a jamais essayé...

[gwinyam]

Surtout que la c'est pas spécialement une faille de Safari mais de Webkit, donc probablement existante aussi sur Chrome.
Oh mince, j'ai dit du mal de Chrome et j'ai tenté de venir au secours d'Apple. Je me sens sale XD

[air-dex]

Citation:

Envoyé par Flaburgan

Même pas d'essai sur les autres navigateurs, c'est effectivement décevant... Je ne veux plus entendre "chrome a survécu à tout les Pown2Own", tu parles, personne n'a jamais essayé...

+1 pour le choix des navigateurs. C'est une honte de ne pas avoir Opera (syndrome des scandinaves aux US (cf. Symbian)). A la décharge des organisateurs du Pwn2Own, je ne pense pas que des navigateurs comme AvantBrowser, Maxthon, Sleipnir, SlimBrowser ou Amaya (browser officiel du W3C) n'auraient pas tenu longtemps.

Il en est de même pour les OS. Pourquoi snober Linux ?

[hivenz]

Citation:

Envoyé par Flaburgan

Même pas d'essai sur les autres navigateurs, c'est effectivement décevant... Je ne veux plus entendre "chrome a survécu à tout les Pown2Own", tu parles, personne n'a jamais essayé...

Maintenant, il faut se poser les bonnes questions : pourquoi personne n'essaye d'attaquer ces navigateurs ?

Puis perso, je trouve ça beaucoup plus jouissif de peter une application proprio qu'une application où on a le mode d'emploi pour savoir comment ça fonctionne.

[Firwen]

Citation:

Il en est de même pour les OS. Pourquoi snober Linux ?

Une année un PC sous Ubuntu était en concurrence mais il n'a été remporté par personne : pas intéressant ou trop sécurisé, ça c'est une autre question

[gwinyam]

C'est pas à l'éditeur du logiciel d'inscrire son produit dans la compétition? Il me semble que ça marchait comme ça, pour la simple raison légale que casser un logiciel est illégal dans de nombreux pays. Le fait d'inscrire soi-même son logiciel permet de dédouaner les candidats.
Enfin il me semble que ça marchait sur ce principe les autres années.

[Katleen Erna]

Pwn2Own 2011 : BlackBerry et l'iPhone 4 vaincus lors du concours de hacking, les produits Google demeurent intouchés
Mise à jour du 11.03.2011 par Katleen

Pour sa deuxième journée, le Pwn2Own a encore fait quelques victimes, mais en a aussi épargné certains.

Les victimes potentielles de la journée étaient les systèmes d'exploitation mobile mais aussi Firefox (3.6), le navigateur qui n'avait pas été malmené hier. Seulement, Sam Dash, qui devait lui régler son compte, ne s'est pas présenté au concours. "Je ne peux pas écrire une code d'exploitation viable" pour ce challenge, s'est-il justifié.

En revanche, l'iPhone 4 et le BlackBerry Torch sont tombés.

Pour le smartphone d'Apple, cracké par Charlie Miller et Dion Blazakis, c'est une faille de SafariMobile (qui est déjà corrigée dans iOS 4.3 grâce à l'ASLR) qui a été exploitée, en passant par un site malicieux. Les chercheurs ont travaillé sur la version 4.2.1 du l'OS de la Pomme et ont réussi à s'introduire dans un iPhone 4 pour en voler les données et en prendre le contrôle. Récompense : 15.000 $.

De leur côté, Willem Pinckaers et Vincenzo Iozzo ont vaincu un BlackBerry Torch 9800 et son OS version 6.0.0.246. Pour cela, ils ont exploité une faille dans WebKit (moteur de rendu des pages Internet) passant par un site Web qui a exécuté un code malveillant en contournant les barrières de sécurité présentes. Ils ont ainsi pu dérober la totalité des contacts et des images contenus dans l'appareil, mais aussi écrire avec. L'absence d'ASLR et de DEP les y a grandement aidés. Gain : 15.000 $.

Précisons enfin que Windows Phone (sur Dell venue) et Android (sur le Nexus S) sont restés invaincus, personne ne s'étant présenté pour les affronter malgré trois inscriptions pour le premier et quatre pour le second (concernant l'OS mobile de Google, un hacker a prévenu la firme de la faille qu'il comptait exploiter. La correction de cette dernière a rendu son action impossible lors du concours).

La suite demain, avec la dernière journée du concours.

Les faibles barrières de sécurité en place sur BlackBerry vous choquent-elles ?

Pourquoi les produits Google (hier Chrome, aujourd'hui Android) n'ont-ils pas été exploités ?

[Uther]

Citation:

concernant l'OS mobile de Google, un hacker a prévenu la firme de la faille qu'il comptait exploiter. La correction de cette dernière a rendu son action impossible lors du concours

En effet, il s’agissait d'une simple faille de type XSS sur le Market d'Android. Comme il pensait que ce type de faille n'était pas recevable pour ce concours, il l'a signalée a Google.

Il n'a su qu'après que ce genre d'exploit était autorisé. Et hop! 15000$ de perdus

[GCSX_]

Comme le dit gwinyam, 2 des failles utilisés sont dans le WebKit. Si je ne me trompe pas il est utilisé dans Chrome et FireFox? Se pourrait-il que les même failles puissent toucher ces derniers?

Autre chose : IE8 à été visé et exploité. Celà n'a rien d'étonnant beaucoup de failles non comblés était déjà connus bien avant le début du concours (je ne sais pas lesquelles ont été utilisés, cependant). Mais qu'en est-il d'IE9? N'est-il pas disponible car il n'est pas encore officiellement sorti? Ou est-ce parce que pesonne n'a tenté de l'attaquer?

[Flaburgan]

Ils n'attaquent pas les beta ou les release candidate. C'est pareil pour Firefox, ils se sont attaqués, ou auraient du, à la 3.6

[Uther]

Citation:

Envoyé par GCSX_

Comme le dit gwinyam, 2 des failles utilisés sont dans le WebKit. Si je ne me trompe pas il est utilisé dans Chrome et FireFox? Se pourrait-il que les même failles puissent toucher ces derniers?

Le problème est bien dans webkit mais il semblerait que Apple ait tardé a faire les corrections de sécurité par rapport à Chrome. La correction d'Apple est arrivé trop tard pour être dans le concours.
Firefox, quant à lui n'est pas impacté car il n'utilise pas Webkit, mais le moteur de la fondation Mozilla : Gecko.

[air-dex]

Citation:

Envoyé par Flaburgan

Ils n'attaquent pas les beta ou les release candidate. C'est pareil pour Firefox, ils se sont attaqués, ou auraient du, à la 3.6

Faux !

Citation:

Envoyé par Pwn2Own 2011

This year the web browser targets will be the latest release candidate (at the time of the contest) of the following products:

Firefox 4 RC1 étant sorti le 9 Mars et le concours ayant eu lieu le 11, certains auraient pu essayer de le hacker, non ? Mais à vaincre sans péril, on triomphe sans gloire.

Sinon dommage qu'il n'y ait pas eu de Symbian^3 dans les mobiles à hacker.