Les participants de la seconde édition de Pwn2Own mobile, déclinaison pour les terminaux mobiles du célèbre concours de hacking qui se tient à la conférence CanSecWest, sont parvenus à mettre à mal la sécurité de deux smartphones très populaires.
La Keen Team a réalisé deux exploits sur iPhone 5 en se servant de Safari. Le groupe de chercheurs en sécurité chinois a réussi à s'emparer de l'identifiant et du mot de passe Facebook d'un iPhone sous iOS 7.0.3. En se rendant sur une page web malicieuse, par l'intermédiaire d'un lien dans un email par exemple, l'utilisateur visé envoie un cookie de Facebook qui comprend ses données de connexion aux hackers. Il n'a pas été précisé si l'authentification en deux étapes (il faut saisir un code envoyé par SMS en plus de son mot de passe pour se connecter) permet de bloquer cette opération.
L'autre exploit a été effectué sur iOS 6.1.4. Grâce à des failles de sécurité dans le système de permission de Safari, la Keen Team a pu accéder aux photos stockées sur le terminal. Là encore, pour que cela fonctionne, l'utilisateur doit cliquer sur un lien qui l'emmène sur une page web particulière.
Ce n'est pas la première fois que WebKit, le moteur de Safari Mobile, est pris à défaut à Pwn2Own (lire : Pwn2Own : une faille de sécurité dans le WebKit d'iOS 5 et 6).
La sécurité du Galaxy S4 a elle aussi été compromise. La Team MBSD a pu installer un malware sur le smartphone de Samsung, là encore par l'intermédiaire d'une page web vérolée. Le programme malveillant était ensuite capable de voler des données de certaines applications installées par défaut comme le carnet d'adresses, les SMS, l'historique de navigation, etc.
