IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

Un chercheur informe Google d'une faille dans l’Android Market


Sujet :

Android

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 332
    Points
    252 332
    Billets dans le blog
    118
    Par défaut Un chercheur informe Google d'une faille dans l’Android Market
    Un chercheur informe Google d'une faille dans l’Android Market
    Et le regrette, il aurait pu gagner le concours de hacking Pwn2Own

    Un chercheur en sécurité a signalé à Google une vulnérabilité pouvant toucher son OS mobile Android. Une faille qu’il aurait pu utiliser lors du concours de hacking Pwn2Own qui se déroule actuellement et auquel il participe.

    Jon Oberheide, a découvert une vulnérabilité critique touchant l'Android Market qui pouvait être exploitée par un pirate pour installer à distance des applications malveillantes sur les terminaux Android en incitant les utilisateurs à cliquer sur un lien malveillant.

    Pensant que l’utilisation de cette vulnérabilité lors de la compétition de hacking était interdite par le règlement, Oberheide a informé Google de la situation. Google s’est empressé de mettre au point un correctif et de procéder à une mise à jour de l’Android Market.

    Cependant, Oberheide apprit un peu plus tard plus tard que l’exploitation de la vulnérabilité n’allait absolument pas à l’encontre des règles du concours. Il aurait pu utiliser sa trouvaille pour gagner 15 000 dollars et le terminal sur lequel est exécutée la preuve de faisabilité.

    Dans un billet de blog, Oberheide a manifesté son mécontentement face à la situation« je suis déçu, car je pensais que ce serait super de gagner le Pwn2Own avec une vulnérabilité de XSS boiteux », écrit-il.

    Jon Oberheide n'a pas pour autant tout perdu. Il aurait reçu la prime officielle de 1337 dollars de Google pour avoir signalé la faille.



    Source : Blog Jon Oberheide
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre du Club
    Profil pro
    Inscrit en
    février 2008
    Messages
    38
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : février 2008
    Messages : 38
    Points : 61
    Points
    61
    Par défaut Effet pervert
    cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.

  3. #3
    Membre actif
    Inscrit en
    décembre 2008
    Messages
    280
    Détails du profil
    Informations forums :
    Inscription : décembre 2008
    Messages : 280
    Points : 261
    Points
    261
    Par défaut
    ça illustre que la prochaine fois il l'a vendra à quelqu'un de malveillant !
    Paye Tes Dettes - Applciation android.

    DevHackSecure - Pense bête d'un étudiant en informatique - Tutos DEV

    " I also realize that _everybody_ thinks that they are right, and that they are supported by all other right-thinking people. That's just how people work. We all think we're better than average." Linus Torvalds

  4. #4
    Membre habitué
    Inscrit en
    mars 2009
    Messages
    68
    Détails du profil
    Informations forums :
    Inscription : mars 2009
    Messages : 68
    Points : 188
    Points
    188
    Par défaut
    Citation Envoyé par PerlPicker Voir le message
    cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.
    Oui, mais il y a également le risque qu'un autre, de plus louable, le trouve également et le signale. Mais je sais pas si ça arrive souvent que des pirates trouvent la même faille...

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2006
    Messages
    1 040
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 1 040
    Points : 1 016
    Points
    1 016
    Par défaut
    bonjour,
    ça illustre surtout que ce n'est pas très sur

  6. #6
    Membre régulier Avatar de watermy
    Profil pro
    Inscrit en
    mars 2010
    Messages
    31
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 31
    Points : 97
    Points
    97
    Par défaut
    Citation Envoyé par cbleas Voir le message
    bonjour,
    ça illustre surtout que ce n'est pas très sur
    Surtout quand on voie le POC qui permet d'effectuer le XSS persistant.
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <script>alert('XSS');</script>
    Nan je suis méchant, il y avait la limite de 4000 caractères qui nous sauve

  7. #7
    Membre actif
    Profil pro
    Inscrit en
    septembre 2009
    Messages
    156
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2009
    Messages : 156
    Points : 296
    Points
    296
    Par défaut
    L’intérêt de cette news sur l'état d'âme d'un "chercheur" qui aurait pu se mettre 15000 $US dans la poche au lieu de 1300 $US est proche du zéro absolu.

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    38
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 38
    Points : 65
    Points
    65
    Par défaut
    Tout à fait d'accord avec singman.

  9. #9
    Nouveau membre du Club
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    40
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2009
    Messages : 40
    Points : 30
    Points
    30
    Par défaut BA
    Il ne faut pas regretter une BA... qui a rapporté quelques billets.

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 10h32
  2. Réponses: 1
    Dernier message: 14/01/2014, 12h31
  3. Réponses: 25
    Dernier message: 27/01/2010, 13h43
  4. Réponses: 25
    Dernier message: 27/01/2010, 13h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo