[HACK] Un expert en sécurité pirate un appareil Android à distance
Des chercheurs de la société de sécurité MWR Labs ont montré au public lors du concours Mobile Pwn2Own à la conférence de sécurité EUSecWest qu'il est possible exploiter sur une connexion NFC (Near Field Communication) en maintenant deux Galaxy S III l'un à côté de l'autre.
En utilisant ce chnique, un fichier est chargé sur le S III ciblé. Le fichier est ensuite automatiquement ouvert et obtient toutes les autorisations, ce qui signifie que l'attaquant a le contrôle total sur le téléphone, explique Tyrone Erasmus, chercheur en sécurité chez MWR. L'application s'exécute en arrière-plan afin que la victime ne soit pas consciente de l'attaque, at-il ajouté.
L'attaquant, par exemple, a accès à tous les messages SMS, images, courriels, informations de contact et bien plus encore. La charge utile est très avancée, les attaquants peuvent donc «faire n'importe quoi sur ce téléphone», disent les chercheurs.L'exploit est destiné à une application de visionneuse de documents qui est installée par défaut sur le Galaxy S II, S III et certains téléphones HTC, les chercheurs ont dit. Ils ne diraient pas quelle application spécifique est ciblée parce qu'ils ne voulaient pas que les autres profitent de l'exploit. La vulnérabilité a été testée à la fois sur le S II et sur le S III et a fonctionné sur les deux téléphones, ont-ils dit.
Il convient de noter cependant que la vulnérabilité peut également être exploitée par d'autres moyens, selon les chercheurs. Les données de charge utile peuvent par exemple être jointes à un message électronique et avoir le même effet lorsqu'elles sont téléchargées.
"Nous avons utilisé la méthode NFC pour le showmanship", a déclaré Erasmus, qui a ajouté que l'utilisation de NFC permettait de cibler quand ils passent simplement devant un attaquant potentiel. Bien que les téléphones doivent être très proches les uns des autres - presque touchants - seule une connexion très brève est nécessaire pour télécharger les données utiles, après quoi une connexion Wi-Fi peut être établie, permettant à l'attaquant de télécharger les informations du téléphone ciblé, Les chercheurs ont dit.
L'équipe MWR a gagné $ 30,000 parmi d'autres prix pour leur hack. Les détails techniques du piratage seront communiqués à Samsung par Zero Day Initiative (ZDI) de HP DVLabs, qui a organisé le concours. "Je pense que c'est un facteur de menace très dangereux", a déclaré Dragos Ruiu, l'organisateur de EUSecWest, qui a ajouté qu'il était particulièrement impressionné par l'ampleur de l'exploit.. La plupart des hacks de Pwn2Own n'exploitent qu'une partie spécifique d'un téléphone mobile, comme le navigateur, a-t-il dit. "Ils ont démontré la pleine possession du téléphone;
Des chercheurs néerlandais ont piraté un iPhone 4S plus tôt ce mercredi lors du même concours Pwn2Own, montrant comment une page Web malveillante peut envoyer toutes les images, les données du carnet d'adresses et l'historique de navigation sur le téléphone à un serveur. au choix de l'attaquant en exploitant un trou dans le moteur WebKit de Safari.
Samsung Galaxy S: Comment se mesure-t-il à la concurrence?
La légion de Samsung Galaxy S touchera les quatre opérateurs cet été. Nous avons eu un aperçu de la version européenne du téléphone Galaxy S original et l'avons mis en face d'autres smartphones de la saison.
Concours Pwn2own 2011: Apple Safari 5, le premier à tomber, piraté en 5 secondes
Le navigateur Safari d`Apple a été piraté en 5 secondes lors du concours annuel de piratage informatique de Pwn2own en 2011.
Qu'est-ce que NFC et comment l'utiliser sur un appareil Android activé par NFC
Explique: Qu'est-ce que la technologie NFC et comment l'utiliser sur votre téléphone ou tablette Android doté de la technologie NFC?