Cette semaine se tenait à Tokyo le concours Mobile Pwn2Own dans le cadre de la conférence PaSec. Plusieurs chercheurs en sécurité se sont confrontés pour trouver des vulnérabilités pour compromettre des smartphones et des tablettes.

La première victime a été la Surface Pro de Microsoft fonctionnant sous Windows 8.1. Abdul Aziz Hariri et Matt Molinyawe, membres de la Zero Day Initiative organisatrice du concours, ont démontré une faille dans IE 11. « Exploiter un bug dans IE est en général difficile en raison du niveau de protection et de contrôle existants », souligne Aziz Hariri.

Il ajoute que « la faille trouvée a été utilisée à deux reprises, l'une pour affecter une adresse mémoire et l'autre pour exécuter du code à distance. Avec cela, nous avions le contrôle sur l'ensemble de la machine ». Cette vulnérabilité a été transmise à Microsoft pour qu'elle puisse la corriger et mieux protéger ses utilisateurs.

Chrome pour Android piraté, mais vite corrigé par Google


Un autre chercheur, connu sous le pseudonyme Pie Pinkie, a compromis deux smartphones, un Google Nexus 4 et un Samsung Galaxy S4. Pour cela, il a utilisé une faille dans le navigateur Chrome. Un exploit, car il est très difficile d'exécuter du code à distance avec la présence d'une sandbox. Pour son attaque, l'utilisateur doit simplement cliquer sur un lien vers une page web à travers un email, un SMS ou depuis un autre site. Une fois la page infectée ouverte, l'attaque s'exécute sans autre intervention de l'utilisateur et en contournant le système de sandbox.

Comme le règlement du concours l'exige, les failles exploitées par Pie Pinkie ont été signalées à Google. La firme de Mountain View a annoncé avoir corrigé le problème et relativise la performance en parlant de « multiples problèmes de corruption de mémoires ». Néanmoins, cette méthode permet à Pie Pnkie de remporter 50 000 dollars de récompense.