Pwn2Own : une faille de sécurité dans le WebKit d'iOS 5 et 6

Florian Innocente |

Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.

La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.

Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.

Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.

La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.

Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.

Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…

Tags
#sécurité #WebKit
avatar misc | 
Ah très ennuyeux cette faille...
avatar misc | 
Quel est le taux de risque à votre vis de tomber sur un site ayant du code malveillant ?
avatar ElGringo13 | 
@yoskiz : Suivant tes habitudes sur le net et les sites que tu visites c est tres variables je penses. Moins de chance sur les sites de grosse entreprises je penses que sur me tout venant
avatar RaZieL54 | 
Pas forcement. Les entreprises et les institutionnels sont très visés aujourd'hui et beaucoup de PC infectés sont des machines d'entreprises. Lorsque l'on voit les revelations qui sont faites au fur et a mesure de l'analyse du virus Flame: flame un echec collectif pour l'industrie antivirus http://www.zdnet.fr/actualites/flame-un-echec-collectif-pour-l-industrie-antivirus-39772859.htm http://www.01net.com/editorial/573247/flame-linfime-element-dun-gigantesque-arsenal-technologique/ Ou encore la découverte d'une faille 0-day critique dans Internet Explorer 7,8,9 si dangereuse que l'Allemagne recommande de bannir l'utilisation du navigateur de Microsoft http://www.zdnet.fr/actualites/faille-zero-day-d-internet-explorer-l-allemagne-preconise-d-utiliser-un-autre-navigateur-pas-la-france-39782686.htm On se rend compte que ce qui est visé aujourd'hui ce sont bel et bien les sites d'entreprises et institutionnel. A cela se rajoute chaque année diverses études indiquant que les entreprises sont de plus en plus touchés, ce qui démontre aussi accessoirement l'échec des entreprises spécialisées dans les anti-virus... De plus quand on voit que l'équipe, meme si elle est composée de "tete", n'a mis que 3 semaines pour trouver cette faille, il est rationnel de penser que d'autres equipes ont fait la meme decouverte, ou d'autres du meme genre, mais ne communiquent pas dessus. Il y a un marché florissant ou se vendent des fortunes ces failles critiques...
avatar eipem | 
@yoskiz : Évite quand même d'aller sur Fandroid avec un téléphone pommé, on ne sait jamais de quoi ces gredins sont capables.
avatar misc | 
@joneskind : '@yoskiz : Évite quand même d'aller sur Fandroid avec un téléphone pommé, on ne sait jamais de quoi ces gredins sont capables.' MDRRR :-) Dommage qu'il n'y ai pas d'évaluation de la menace potentiel de tomber un site de ce type... Pas facile à savoir je pense mais bon ça rassuré pas des masses ce genre de découverte. Et franchement avoir accès aux photos je vois pas l'intérêt, les contacts je suppose que c'est pour 'spamer' les boîtes mails...
avatar RaZieL54 | 
Certes, mais avec les mobiles on ne risque plus d'être piège par les Flash vérolés. Et il est tres facile de supprimer Flash de son ordinateur, ce qui fait avec la supression de Java http://www.zdnet.fr/actualites/java-il-reste-des-failles-malgre-les-correctifs-d-oracle-39775658.htm deux des premières mesures efficaces de prévention contre les malware en tout genre...
avatar jarno24 | 
@shqiprim : 'Je sais pas si ça fais partis de la faille mais sur le site "anibis" ( site d'annonce suisse ) j'ai fais une webapp avec, et des fois ça me dirigeait sur un site porno' Super ! Je peux te piquer cette excuse ? :)
avatar drkiriko | 
"Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation." Juste une toute toute petite faille... Ça va devenir dangereux d'avoir un smartphone !
avatar onze | 
Des fois je me connecte sur impôts.gouv.fr et ensuite je constate des prélèvements inexpliqués...
avatar Lou117 | 
Pour info, le SG III vient de tomber aussi... à cause du NFC...
avatar Lou117 | 
Plus précisément : http://www.computerworld.com/s/article/9231448/Galaxy_S3_hacked_via_NFC_at_Mobile_Pwn2Own_competition Le fait de transférer un fichier (en NFC ou non) et de l'ouvrir avec un outil spécifique fourni sur les SG 2 et 3 (mais aussi des HTC) active le code qui permet de prendre contrôle de l'appareil. Le NFC ajoute ici la facilité, une fois le fichier transféré, il est automatiquement ouvert par cette application...
avatar RaZieL54 | 
Ben pour toi ça n'a pas d'impact, mais imagines un peu pour quelqu'un d'influent et qu'on veut faire "tomber", dans le genre de ce qui s'est passé avec Strauss-Kanh... Et sans même monter a ce niveau, suffit de penser a ce qu'on peut faire pour compromettre un chef d'entreprise, un syndicaliste, un conjoint,... La NFC a des bons coté, mais il faut avant de la réaliser mettre en place un système efficace de verification et que cela se fasse qu'avec l'accord explicite de l'utilisateur. Or sur ce dernier point il y a trop de choses automatiques dans les OS actuels, que ce soit iOS ou Android.
avatar Lou117 | 
@Steeve J. : la faille vient bien plus de l'application ouverte automatiquement que du NFC en lui même qui n'est qu'un support de transfert. Par exemple le NFC présent dans le Galaxy Nexus n'a pas ce bug et donc pas cette faille.
avatar Billytyper2 | 
"phantoom [20.09.2012 - 14:58] @Steve J. La différence c'est que dans le cas d'une attaque via NFC tu es obligé d'avoir un accès physique à l'autre appareil." Heuu non, ce n'est pas nécessaire d'avoir un accès physique sur l'appareil cible... En tout cas pas en NFC ou WiFi. En BT peut-être.
avatar Lou117 | 
@XiiiiX et @Steeve J. : heu si, il FAUT avoir l'appareil à portée de NFC, donc en main... C'est donc ce qui s'appelle communément un accès physique... La NFC n'est pas magique, à quelques de centimètres elle n'opère plus. La faille est double : 1) L'implémentation du NFC par Samsung fait ouvrir automatiquement le fichier reçu 2) L'application qui est associée à ce fichier possède une faille importante. Encore une fois ce n'est PAS le NFC qui est en cause ici. La faille webkit est moins profonde dans le système (quoi qu'en fouillant un peu peut être...), mais elle ne nécessite aucun accès physique à l'appareil en dehors d'un usage classique de navigation sur le net. Les deux failles sont importantes, cessez un peu de faire l'autruche quand il s'agit d'iOS ou Apple, l'une n'est pas moins grave que l'autre.
avatar YanDerS | 
+ une faille est une faille

CONNEXION UTILISATEUR