Sécurité : Blackberry se casse les dents au Pwn2Own

Olivier Robillart
Publié le 11 mars 2011 à 09h15
Le second jour du CanSecWest était consacré à la sécurité des mobiles. Après s'être attaqués aux navigateurs, les hackers ont jeté leur dévolu sur un iPhone 4 et un BlackBerry.

00A0000001990866-photo-hacker.jpg
Safari 5.0.3, Chrome 9, Firefox 3.6 et Internet Explorer 8 ont déjà subi les coups de boutoir des bidouilleurs. Cette fois, la sécurité des mobiles est mise à l'épreuve notamment les smartphones de chez RIM. Les Blackberry sont tombés à cause d'une faille dans le moteur de rendu de page Internet, Webkit.

Concrètement, les hackers ont réussi via cette intrusion à récupérer le carnet d'adresse et les images contenues dans le portable. Leur méthode fut simple, les participants au concours ont mis en place un site qui a pu exécuter du code malveillant. Le fait que le Blackberry ne possède aucune solution de type Data Execution Prevention a donc rendu la tâche moins compliquée car aucune disposition n'a empêché l'exécution de codes depuis les blocs mémoires.

L'iPhone 4 n'était pas en reste mais s'en sort un peu mieux. C'est notamment Charlie Miller, bien connu comme ayant déjà cassé de l'iPhone 2G et 3GS, qui a mis sur le doigt sur une faille de sécurité. Par contre, si cette vulnérabilité n'est pas corrigée, la récente mise à jour d'iOS 4.3 a bloqué l'attaque.

Vu que les scénarios d'attaques pouvaient passer par les navigateurs mobiles, ils ont été bloqués par l'ASLR proposé dans Safari sous iOS 4.3. Cette technique dite d' Adress Space Layout randomization revient à placer les données de manière aléatoire dans l'espace d'adressage de la mémoire.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles