Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.
La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.
Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.
Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.
La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.
Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.
Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…
Pwn2Own : une faille de sécurité dans le WebKit d'iOS 5 et 6
Un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S avec iOS 5.1.1, elle se manifeste aussi sur l'iPad.
La dernière version d'iOS 6 envoyée aux développeurs contenait toujours ce problème, expliquent les deux auteurs de cette découverte, Joost Pol et Daan Keuper de la société néerlandaise Certified Secure.
Ils en ont fait la démonstration à la conférence EUSecWest qui se tient depuis hier à Amsterdam, et ont empoché entre 20 000$ et 30 000$ dans le cadre du concours Mobile Pwn2Own qui était organisé.
Lorsqu'un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés, a expliqué l'un des deux chercheurs à TechWorld. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n'importe où ailleurs. Il sait en tout cas récupérer et transmettre vers un serveur les photos stockées sur l'appareil, les contacts du carnet d'adresses ou l'historique de navigation.
La méthode n'a pas été détaillée plus avant, simplement montrée dans son exécution, et les informations complètes vont être transmises à Apple. iOS 6 est sorti hier avec de nombreux correctifs de sécurité, dont quelques-uns relatifs à WebKit, mais apparemment pas pour cette faille.
Le concours Pwn2Own, organisé pendant cette conférence de deux jours, met au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC, les SMS ou dans un baseband.
Quatre mobiles sont en lice : un BlackBerry Bold 9930, le Galaxy SIII, le Lumia 900 et l'iPhone 4S. Les récompenses vont de 20 000$ à 100 000$ selon l'enjeu. Cerise sur le gâteau, quel que soit le défi remporté, RIM offre une tablette Playbook au gagnant…
Rejoignez le Club iGen
Soutenez le travail d'une rédaction indépendante.
Rejoignez la plus grande communauté Apple francophone !
Résultats Apple : l'iPad et le Mac à la fête, l'iPhone en difficulté
23:15
• 12
Promo : l'iPhone 13 128 Go à 499 €
21:46
• 4
Le vol supersonique historique du Boom XB-1 diffusé en live par un iPhone
20:45
• 12
Lucie, l’IA française open-source, débranchée après quelques jours et des réponses catastrophiques
20:15
• 41
Promo : 6 mois d’Apple Music à 2,99 € pour les nouveaux abonnés
18:00
• 2
Payer son ticket avec sa carte bancaire dans les transports parisiens, ce n’est pas pour demain
17:15
• 56
Journal : une application méconnue, voire ouvertement rejetée
16:00
• 7
Cetelem fait un financement à 0% de l'iPhone jusqu'à fin mars
15:33
• 44
Le dernier défilé Jacquemus a été entièrement filmé à l’iPhone 16 Pro Max
13:30
• 8
Malimite : quand GPT-4 décompile des applications iOS et macOS
11:00
• 6
Sunday Night Soccer : un match de foot bientôt inclus chaque semaine sur Apple TV+
10:15
• 13
Promo générale sur les Apple Watch SE et Series 10 aluminium et titane
09:19
• 9
Disney+ pourra diffuser des films seulement 9 mois après leur sortie au cinéma
07:27
• 65
Le gouvernement US voudrait limiter encore plus les exportations de Nvidia en Chine
29/01/2025 à 20:30
• 30
Le Play Store affiche désormais un badge « Vérifié » aux côtés des VPN de confiance
29/01/2025 à 20:00
• 19
DeepSeek disparait de l'App Store en Italie après des questions sur son utilisation de données personnelles
29/01/2025 à 18:00
• 28
La maison au soleil : test du Zendure Hyper 2000, une batterie de stockage pas que pour le solaire
Test de l’interrupteur connecté H2 EU d’Aqara : un vrai déclic pour la domotique
Test du clavier Clicks : et l’iPhone devient un BlackBerry
Test de la Sonos Arc Ultra : de l’ultra grand spectacle
Mini-test de la station de charge 3-en-1 de Zike
