Les hackers ont de nouveau pu montrer leur grand art à l’occasion du PwnFest 2016, un concours de piratage qui s’est tenu à Séoul la semaine dernière. L’équipe qui a raflé le plus de prix est celle de l’éditeur chinois Qihoo 360. Elle a trouvé une faille dans le Google Pixel permettant l’exécution de code arbitraire à distance. En moins de 60 secondes, le dernier smartphone de Google était sous leur contrôle. Selon The Register, leur attaque permettait de lancer le PlayStore puis une page web sous Chrome affichant « Pwned by 360 Alpha Team ». Ce bel exploit fut récompensé de 120 000 dollars.
Ce n’est pas la première fois que des hackers mettent le Pixel à genoux. A l’occasion du PwnFest 2016, les bidouilleurs de la société chinoise Keen Security Lab ont montré que les failles qu’ils ont utilisées fin octobre à l’occasion du concours Mobile Pwn2Own pour casser le Nexus 6P, permettent également de venir à bout du Pixel. Leur démonstration s’est appuyée sur une vidéo. Dans les deux cas, les failles ont été notifiées à Google qui les corrigera prochainement.
Les cyberninjas de Qihoo 360 ont également réussi à pirater Microsoft Edge, VMware Workstation et Adobe Flash. Pour ce dernier, ils n’ont eu besoin que de quatre secondes. Au total, ils ont empoché une récompense de 530 000 dollars.
VMware Workstation et Microsoft Edge ont également été cassés par le hacker sud-coréen Lokihardt, en employant des méthodes différentes. Agé de 22 ans, celui-ci est reparti avec 290 000 dollars. Auprès de The Register, ce spécialiste des failles 0day a précisé qu’il n’avait plus besoin de travailler. On comprend pourquoi.
One shot One kill. Lokihardt succeeded in exploiting MS Edge and getting system privilege in #PwnFest2016. pic.twitter.com/0Ipa3gUNio
— vangelis (@vangelis_at_POC) November 10, 2016
Autre victime cette année : Apple Safari. Les membres de Team Pangu (connus pour fournir régulièrement des jailbreaks pour iOS) se sont associés au hacker JH pour créer une attaque sur macOS Sierra. En exploitant une faille dans le navigateur d’Apple, ils ont réussi à obtenir les privilèges root sur la machine en l’espace de 20 secondes. Ils ont gagné 100 000 dollars.
Au total, les hackers ont empoché 920 000 dollars. Ils auraient pu avoir encore plus, car Google Chrome et l’iPhone 7 Plus figuraient également sur la liste des cibles. Mais ces produits sont restés indemnes. Pour cette fois.
Source :
The Register
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
