Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.
La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.
Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.
Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.
La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.
Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.
Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…
Pwn2Own : une faille de sécurité dans le WebKit d'iOS 5 et 6
Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.
La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.
Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.
Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.
La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.
Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.
Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…
Rejoignez le Club iGen
Soutenez le travail d'une rédaction indépendante.
Rejoignez la plus grande communauté Apple francophone !
Promo : iPad Air M3 à 713 € (-176 €), iPad A16 à 495 € (-84 €)
09:05
• 7
Prenez-vous des photos avec votre iPad ?
05/04/2025 à 15:00
• 60
Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?
05/04/2025 à 12:17
• 14
Mon écran d'accueil : Pierre et ses trois pages d’apps qu’il n’utilise « pas »
05/04/2025 à 11:00
• 5
Starlink passe à 29 €/mois avec une connexion moins prioritaire
05/04/2025 à 10:48
• 114
La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕
04/04/2025 à 23:25
• 74
Corning présente le Gorilla Glass Ceramic, encore plus résistant que le Gorilla Glass standard
04/04/2025 à 21:00
• 10
App Store : cinq VPN liés à une entreprise chinoise sur liste noire sont accessibles aux États-Unis
04/04/2025 à 20:30
• 5
Grâce à la Nintendo Switch 2, les cartes (micro)SD Express arrivent enfin
04/04/2025 à 19:30
• 10
Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump
04/04/2025 à 17:33
• 63
Google propose des jeux pour Android Auto
04/04/2025 à 16:15
• 0
Qualcomm abandonne la 5G mmWave avec son Snapdragon 8s Gen 4, comme Apple avec son modem C1
04/04/2025 à 15:30
• 5
iOS 18.4 : les navigateurs tiers peuvent désormais installer des extensions
04/04/2025 à 13:50
• 16
Silence : une application pour bloquer les appels indésirables sans abonnement
04/04/2025 à 12:30
• 101
Certains utilisateurs rencontrent des difficultés avec CarPlay depuis leur passage à iOS 18.4
04/04/2025 à 11:00
• 38
Test de l’iPhone 16e : pour tout le monde, ou presque
04/04/2025 à 09:26
• 33
Test de l’iPhone 16e : pour tout le monde, ou presque
Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone
Test du Gamebaby : une coque qui transforme (mal) votre iPhone en Game Boy
Test de l'iPad A16 : il fait l'essentiel sans zèle
Test des iPad Air M3 : ils ne manquent pas d’air
