Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.
La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.
Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.
Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.
La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.
Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.
Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…
Pwn2Own : une faille de sécurité dans le WebKit d'iOS 5 et 6
Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.
La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.
Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.
Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.
La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.
Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.
Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…
Rejoignez le Club iGen
Soutenez le travail d'une rédaction indépendante.
Rejoignez la plus grande communauté Apple francophone !
Sortie de veille : Apple tient bon la barre, mais cela va-t-il durer ?
03/05/2025 à 23:02
• 19
iPhone Air, Pro et pliable : Apple prépare de grands bouleversements
03/05/2025 à 18:51
• 53
Tim Cook restreint la communication sur les performances du C1, mais n’en pense pas moins
02/05/2025 à 22:00
• 17
L’utilitaire pour activer JIT StikDebug est désormais disponible sur l’App Store
02/05/2025 à 18:00
• 1
Un paquet de projecteurs Epson sont désormais compatibles AirPlay et HomeKit
02/05/2025 à 17:00
• 6
Stripe est prêt à prendre la place des In-Apps sur l'App Store
02/05/2025 à 16:40
• 9
« Le pape François indifférent au décès de Zidane » : pourquoi Apple Intelligence résume si mal les titres d’articles
02/05/2025 à 16:25
• 70
App Store : Patreon va soumettre une mise à jour pour éviter la commission d’Apple
02/05/2025 à 11:41
• 15
Une cascade de nouveaux frais pour les forfaits B&You
02/05/2025 à 10:33
• 34
Epic Games veut aider les développeurs iOS à vendre hors de l’App Store grâce à des boutiques web
02/05/2025 à 10:03
• 24
iOS 19 pourrait offrir plusieurs nouveautés pour Stage Manager et les styles photographiques
02/05/2025 à 08:18
• 21
App Store : Apple change ses règles aux États-Unis et Spotify saute sur l'occasion
02/05/2025 à 07:20
• 46
Apple : des résultats solides, mais la Chine et les droits de douane inquiètent
01/05/2025 à 23:33
• 20
4G : Apple condamnée à verser 502 millions de dollars à un patent troll
01/05/2025 à 17:24
• 61
Microsoft augmente les prix des Xbox, de leurs manettes et de leurs jeux
01/05/2025 à 16:23
• 65
Espionnage d’iPhone : un journaliste italien alerté par Apple
01/05/2025 à 15:07
• 8
Test d’un détecteur de présence sur piles pour Home Assistant
Test d'un traqueur Bluetooth à moins de 4 € : est-il vraiment aussi bien qu'un AirTag ?
Test d'un adaptateur CarPlay sans fil à moins de 15 €
Test de l’iPhone 16e : pour tout le monde, ou presque
Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone
