Pwn2Own : un iPhone piraté en 20 secondes, pour en copier tous les SMS

Katleen Erna · 26/03/2010, 23h05

Pwn2Own : un iPhone piraté en 20 secondes, pour en copier tous les SMS

Lors du concours de hacking Pwn2Own, la base de donnée qui contient les SMS de l'iPhone n'a pas tenu longtemps.

Deux hackers, enzo Iozzo et Ralf Philipp Weinmann, ont réussi à s'y introduire et à en copier tout le contenu (y compris les SMS qui avaient été effacés) en redirigeant les utilisateurs vers un site web compromis.

Tout cela en un temps record, puisqu'il leur a suffit de 20 secondes pour aspirer toutes les données de cette base de données de l'iPhone. leur technique pourrait également permettre d'accéder aux contacts, photos, fichiers audio, etc... du smartphone.

Les deux hommes ont reçu 15.000 $ pour leur victoire, et les détails de leur exploit ne seront révèles qu'après qu'Apple ait été informé de cette vulnérabilité et qu'il ne la patch.

deadalnix · 27/03/2010, 04h49

Et si Apple nie et ne patche pas ?

Corolaire, en supposant que ce soit patché, les utilisateurs vont-il l'appliquer ? La manœuvre est-elle compliquée dans ce genre de cas ?

trident_job · 27/03/2010, 07h44

Citation:

Envoyé par deadalnix

Et si Apple nie et ne patche pas ?

Apple n'a aucun intérèt à ne pas le faire. Et en cas de refus ... quelqu'un d'autre pourrait trouver la faille et la diffuser sur le net !

Pour l'application du patch ... je pensais que c'était automatique non ?

valkirys · 27/03/2010, 11h11

Citation:

Envoyé par Katleen Erna

Deux hackers, enzo Iozzo et Ralf Philipp Weinmann, ont réussi à s'y introduire et à en copier tout le contenu (y compris les SMS qui avaient été effacés)

Au moins on sait à qui s'adresser pour récupérer ses données perdues

sans se déplacer.

azgard35 · 27/03/2010, 12h13

Précisions supplémentaires :

Une fois les sms récupérés, le hack fait planter l'iphone. Mais l'auteur dit qu'avec plus de temps et de travail il pourrait rendre l'opération invisible.

Et pour rappel, Mac OS, Windows 7, Firefox etc... ont également été hackés.
Aucun système n'est complètement sécurisé.

La question qui se pose : comment les équipes de sécurité de ces logiciels peuvent être battus par un hacker après 2 semaines de travail et 3 machines pour trouver la faille ? C'est d'ailleurs le commentaire de l'auteur.

valkirys · 27/03/2010, 12h45

Citation:

Envoyé par azgard35

La question qui se pose : comment les équipes de sécurité de ces logiciels peuvent être battus par un hacker après 2 semaines de travail et 3 machines pour trouver la faille ? C'est d'ailleurs le commentaire de l'auteur.

J'ai plusieurs fois lu (charlie miller) qu'ils (hackers) faisaient du reverse ingeneering, les logiciels existent

video hacking.

l'exploit sous ie8

deadalnix · 27/03/2010, 14h40

Citation:

Envoyé par trident_job

Apple n'a aucun intérêt à ne pas le faire. Et en cas de refus ... quelqu'un d'autre pourrait trouver la faille et la diffuser sur le net !

Ils l'ont déjà fait.

pcaboche · 27/03/2010, 23h42

Citation:

Envoyé par Katleen Erna

Les deux hommes ont reçu 15.000 $ pour leur victoire, et les détails de leur exploit ne seront révèles qu'après qu'Apple ait été informé de cette vulnérabilité et qu'il ne la patch.

Les deux hackers ont gagné $15.000 en récupérant des données personnelles dans un iPhone.
Mark Zuckerberg a gagné $15.000.000.000 en demandant gentiment aux utilisateurs de facebook de lui donner leurs données personnelles...

Oui, je sais, ça n'a pas beaucoup de rapport avec le sujet original, mais je trouve le parallèle amusant...

Su · 28/03/2010, 22h37

En 20 secondes, pour savoir tout de notre vie...
C'est cher payé l'iphone, ça serait bien tout de même qu'il soit sécurisé comme il se doit.

Louis Griffont · 29/03/2010, 08h37

Visiblement, ils ont utilisé une faille de sécurité de SAFARI !

Dans le même concours, Firefox et IE ont été piraté, mais pas Chrome !

Voir ici pour plus de détail !

dams78 · 29/03/2010, 10h32

En fait il y a piraté et piraté... ce qui est important c'est les données qu'on va récupérer : les sms sont personnels mais pas forcément compromettant (pas comme un numéro de carte bleue).
En tout cas c'est mal foutu qu'en passant par Safari on arrive aux sms...

atb · 29/03/2010, 10h47

Citation:

En fait ya piraté et piraté... ce qui est important c'est les données qu'on va récupérer : les sms sont personnels mais pas forcément compromettant (pas comme un numéro de carte bleue).

Pas si sur ! Il y a certaines données qui valent plus chères qu’un numéro de carte bleu. Tout dépend de la place qu'occupe le propriétaire de ce gadget dans la société.

deadalnix · 29/03/2010, 15h58

Citation:

Envoyé par Louis Griffont

Voir ici pour plus de détail !

C'est dommage qu'ils ne disent pas lesquels l'ont été par un plug-in. Car c'est souvent le cas au Pwn2own. Flash en tête, suis java

aindoula · 02/04/2010, 18h35

Citation:

Envoyé par atb

Pas si sûr ! Il y a certaines données qui valent plus chères qu’un numéro de carte bleu. Tout dépend de la place qu'occupe le propriétaire de ce gadget dans la société.

Exemple : le fameux SMS envoyé par Sarkosy à sa femme par exemple et que Paris Match a publié ..

26/03/2010, 23h05	#1
Katleen Erna Expert Confirmé Sénior Inscription : juillet 2009 Messages : 1 553 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juillet 2009 Messages : 1 553 Points : 30 184 Points : 30 184	Pwn2Own : un iPhone piraté en 20 secondes, pour en copier tous les SMS Pwn2Own : un iPhone piraté en 20 secondes, pour en copier tous les SMS Lors du concours de hacking Pwn2Own, la base de donnée qui contient les SMS de l'iPhone n'a pas tenu longtemps. Deux hackers, enzo Iozzo et Ralf Philipp Weinmann, ont réussi à s'y introduire et à en copier tout le contenu (y compris les SMS qui avaient été effacés) en redirigeant les utilisateurs vers un site web compromis. Tout cela en un temps record, puisqu'il leur a suffit de 20 secondes pour aspirer toutes les données de cette base de données de l'iPhone. leur technique pourrait également permettre d'accéder aux contacts, photos, fichiers audio, etc... du smartphone. Les deux hommes ont reçu 15.000 $ pour leur victoire, et les détails de leur exploit ne seront révèles qu'après qu'Apple ait été informé de cette vulnérabilité et qu'il ne la patch.
	00

27/03/2010, 04h49	#2
deadalnix Membre Expert Inscription : juillet 2006 Messages : 1 396 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 1 396 Points : 1 330 Points : 1 330	Et si Apple nie et ne patche pas ? Corolaire, en supposant que ce soit patché, les utilisateurs vont-il l'appliquer ? La manœuvre est-elle compliquée dans ce genre de cas ? Dernière modification par Mejdi20 ; 29/03/2010 à 13h18.
	00

28/03/2010, 22h37	#9
Su Futur Membre du Club Inscription : février 2006 Messages : 26 Détails du profil Informations forums : Inscription : février 2006 Messages : 26 Points : 19 Points : 19	En 20 secondes, pour savoir tout de notre vie... C'est cher payé l'iphone, ça serait bien tout de même qu'il soit sécurisé comme il se doit. Dernière modification par Mejdi20 ; 29/03/2010 à 13h13.
	00

29/03/2010, 10h32	#11
dams78 Membre Expert damien Inscription : mars 2005 Messages : 1 680 Détails du profil Informations personnelles : Nom : damien Âge : 27 Informations forums : Inscription : mars 2005 Messages : 1 680 Points : 1 861 Points : 1 861	En fait il y a piraté et piraté... ce qui est important c'est les données qu'on va récupérer : les sms sont personnels mais pas forcément compromettant (pas comme un numéro de carte bleue). En tout cas c'est mal foutu qu'en passant par Safari on arrive aux sms... Dernière modification par Mejdi20 ; 29/03/2010 à 13h03.
	00

27/03/2010, 12h13	#5
azgard35 Nouveau Membre du Club Inscription : juin 2009 Messages : 27 Détails du profil Informations forums : Inscription : juin 2009 Messages : 27 Points : 27 Points : 27	Précisions supplémentaires : Une fois les sms récupérés, le hack fait planter l'iphone. Mais l'auteur dit qu'avec plus de temps et de travail il pourrait rendre l'opération invisible. Et pour rappel, Mac OS, Windows 7, Firefox etc... ont également été hackés. Aucun système n'est complètement sécurisé. La question qui se pose : comment les équipes de sécurité de ces logiciels peuvent être battus par un hacker après 2 semaines de travail et 3 machines pour trouver la faille ? C'est d'ailleurs le commentaire de l'auteur.
	00

29/03/2010, 08h37	#10
Louis Griffont Inactif Inscription : février 2003 Messages : 4 343 Détails du profil Informations forums : Inscription : février 2003 Messages : 4 343 Points : 4 079 Points : 4 079	Visiblement, ils ont utilisé une faille de sécurité de SAFARI ! Dans le même concours, Firefox et IE ont été piraté, mais pas Chrome ! Voir ici pour plus de détail !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email