Discussion :

[Hinault Romaric]

Un chercheur informe Google d'une faille dans l’Android Market
Et le regrette, il aurait pu gagner le concours de hacking Pwn2Own

Un chercheur en sécurité a signalé à Google une vulnérabilité pouvant toucher son OS mobile Android. Une faille qu’il aurait pu utiliser lors du concours de hacking Pwn2Own qui se déroule actuellement et auquel il participe.

Jon Oberheide, a découvert une vulnérabilité critique touchant l'Android Market qui pouvait être exploitée par un pirate pour installer à distance des applications malveillantes sur les terminaux Android en incitant les utilisateurs à cliquer sur un lien malveillant.

Pensant que l’utilisation de cette vulnérabilité lors de la compétition de hacking était interdite par le règlement, Oberheide a informé Google de la situation. Google s’est empressé de mettre au point un correctif et de procéder à une mise à jour de l’Android Market.

Cependant, Oberheide apprit un peu plus tard plus tard que l’exploitation de la vulnérabilité n’allait absolument pas à l’encontre des règles du concours. Il aurait pu utiliser sa trouvaille pour gagner 15 000 dollars et le terminal sur lequel est exécutée la preuve de faisabilité.

Dans un billet de blog, Oberheide a manifesté son mécontentement face à la situation« je suis déçu, car je pensais que ce serait super de gagner le Pwn2Own avec une vulnérabilité de XSS boiteux », écrit-il.

Jon Oberheide n'a pas pour autant tout perdu. Il aurait reçu la prime officielle de 1337 dollars de Google pour avoir signalé la faille.



Source : Blog Jon Oberheide

[PerlPicker]

cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.

[NameX]

ça illustre que la prochaine fois il l'a vendra à quelqu'un de malveillant !

[Priato]

cette news illustre un risque de ces compétitions: Que les chercheurs ne signalent pas immédiatement les failles découvertes en attendant la prochaine compétition.

Oui, mais il y a également le risque qu'un autre, de plus louable, le trouve également et le signale. Mais je sais pas si ça arrive souvent que des pirates trouvent la même faille...

[cbleas]

bonjour,
ça illustre surtout que ce n'est pas très sur

[watermy]

bonjour,
ça illustre surtout que ce n'est pas très sur

Surtout quand on voie le POC qui permet d'effectuer le XSS persistant.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert('XSS');</script>

Nan je suis méchant, il y avait la limite de 4000 caractères qui nous sauve

[singman]

L’intérêt de cette news sur l'état d'âme d'un "chercheur" qui aurait pu se mettre 15000 $US dans la poche au lieu de 1300 $US est proche du zéro absolu.

[Octopod]

Tout à fait d'accord avec singman.

[visafacile.net]

Il ne faut pas regretter une BA... qui a rapporté quelques billets.