Un expert en piratage a démontré qu’il était possible de pirater un smartphone tournant sous Android via Chrome.
La vulnérabilité constitue en permanence un nouveau défi à relever pour les développeurs et les professionnels de la sécurité informatique. Pour cette raison, sont organisés régulièrement des concours de piratage destinés à révéler des failles de sécurité pouvant être exploitées par les hackers. Guang Gong, un expert en piratage, vient de mettre en évidence une faille importante lors du concours de piratage MobilePwn2Own de la conférence PacSec à Tokyo. Il est parvenu à démontrer qu’à travers un site web piégé, il était possible de prendre le contrôle d’un smartphone, de le déverrouiller et de réaliser plusieurs actions. Cette manipulation est possible non seulement sur son téléphone, mais aussi sur tous les appareils qui tournent sous Android.
Concrètement, si un attaquant exploite cette faille, il peut par exemple installer une application à l’insu de l’utilisateur. Ce qui étonne le plus les experts en sécurité informatique, c’est que Guang Gong n’a pas eu besoin d’exploiter plusieurs failles de Chrome pour piloter son smartphone, comme c’est habituellement le cas. C’est ce que souligne l’organisateur du concours, Dragos Rui : « Ce qui est impressionnant avec l’exploit de Guang, c’est qu’il s’agit d’un one-shot. Dans la plupart des cas aujourd’hui, les hackers sont obligés d’exploiter plusieurs failles d’affilée pour obtenir un accès privilégié et installer des logiciels en douce ».
Actuellement, il n’existe aucun patch permettant de colmater la faille, mais Google s’est déjà penché sur le problème.
Photo : © Google.
Ajouter un commentaire