Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mobile Pwn2Own 2016 : les Nexus 6P et iPhone 6 s sont tombés

Pas de pitié

Mobile Pwn2Own 2016 : les Nexus 6P et iPhone 6s sont tombés

Le 29 octobre 2016 à 08h00

Le concours Mobile Pwn2Own 2016 mettait en jeu cette année un gain potentiel de 375 000 dollars. Comme pour le concours concernant les navigateurs, il invite les hackers et autres équipes de sécurité à percer les défenses des smartphones. L’équipe de Tencent s’est particulièrement démarquée.

La version 2016 du concours Mobile Pwn2Own se déroulait à Tokyo. Il mettait en scène principalement un iPhone 6 s et un Nexus 6P, tous deux mis à jour pour prendre en compte tous les plus récents correctifs de sécurité. Le but ? Percer quand même leurs défenses pour réaliser différentes actions, comme voler des données, réussir à installer une application, etc.

Le Nexus 6P a accepté une installation d'application

Une équipe s’est clairement illustrée pendant le concours : la Keen Security Lab Team du chinois Tencent. Elle a commencé par s’en prendre au Nexus 6P de Google, équipé donc de la dernière révision d’Android disponible. Ils se sont introduits dans le système en tirant parti d’une combinaison de deux failles puis, une fois dans le système, se sont servis de plusieurs autres vulnérabilités.

Avec cette conjonction de brèches, ils ont réussi à forcer, à plusieurs reprises, l’installation d’une application, sans que le système n'y trouve à redire. Pour avoir prouvé que leur méthode était fonctionnelle, ils ont remporté 102 500 dollars. Toutes les failles ont été remontées à Google.

Vol de données et installation d'application pour l'iPhone 6 s

Ils se sont ensuite attaqués à l’iPhone 6 s. Là encore, ils ont utilisé deux failles de sécurité, toutes deux centrées sur la mémoire (une « use-after-free », l’autre de type corruption). Par cette porte, ils ont réussi à dérober des photos présentes sur l’appareil, et ont ainsi empoché 52 500 dollars supplémentaires.

Ils ont enchainé avec une application maison à installer sur l’appareil. Ils ont utilisé pour cela une série d’autres bugs sur lesquels nous n’avons aucune information. La procédure a réussi, mais seulement de manière partielle. L’application est considérée comme pleinement installée si elle survit au redémarrage de l’appareil, ce qui n’a pas été le cas ici. Pour les bugs trouvés et la méthode utilisée, ils ont quand même empoché 60 000 dollars.

Presque deux tiers des récompenses potentielles pour Tencent

Sur les 375 000 dollars potentiels du concours, l’équipe de Tencent a donc récupéré 215 000 dollars. Deux chercheurs de MWR Labs, Robert Miller et Georgi Geshev, ont de leur côté failli remporter une enveloppe en s’attaquant eux aussi au Nexus 6P pour y installer une application. Malheureusement, il semble qu’un patch de sécurité récent pour Chrome ait rendu leur méthode instable. L’installation n’a donc pas pu se faire dans le temps imparti, mais les failles ont été, là encore, remontées.

La Zero Day Initiative, qui gère ces concours, insiste sur l’intérêt de ce type de compétition. Non seulement ils servent à concentrer les détails de failles qui auraient pu être exploitées par des pirates, mais ils permettent aussi de suivre les tendances dans cette exploitation. Les méthodes utilisées sont examinées de près, ZDI indiquant par exemple que l’équipe Tencent s’est montrée « innovante » dans ce domaine.

Précisons que tous les concours « Pwn2Own » ont une politique claire de remontée des failles aux éditeurs concernés, que l’exploitation ait fonctionné ou non.

Commentaires (58)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

L autre utilité de ce genre de concours est d ouvrir les yeux des gens qui aujourd’hui confie plus de données à leurs smartphones qu à leur pc (photos, vidéo, app bancaire, mail, app shopping…)



La plus part des gens déclarent qu ils s en foute d avoir les maj de leur smartphone que ça sert à rien… Sans compter ceux qui ventent les mérites des os Apple comme sécurisé, non vulnérable aux intrusion et autres malware.. la preuve que non… Et mac os est à la même enseigne qu iOS (à l époque de Vista, l os de Microsoft contenait même moins de faille critique découverte que Mac Os X)

votre avatar

Sur le Nexus 6P, ils ont pu utiliser &nbsp;Dirty Cow, non? <img data-src=" />&nbsp;

votre avatar

Pas de test sur Win10 Mobile ?

votre avatar

Un concours très utile :)

votre avatar

Sur quoi? <img data-src=" />&nbsp;

votre avatar

Le souci c que ok google fait son tar et corrige les faille. Samsung et autre fabriquant les corrige aussi sur certains modèles. Mais derrière les opérateurs qui ont leur sur couche ne font absolument rien. C tout bonnement scandaleux.

votre avatar

N’empêche qu’on rigole mais la faille Dirty Cow risque de devenir le moyen incontournable de rooter son Android si le constructeur ne le met pas à jour (spoiler : il ne le met pas à jour)

votre avatar







arno53 a écrit :



Pas de test sur Win10 Mobile ?





On est samedi, pas vendredi. <img data-src=" />


votre avatar







cthoumieux a écrit :



Le souci c que ok google fait son tar et corrige les faille. Samsung et autre fabriquant les corrige aussi sur certains modèles. Mais derrière les opérateurs qui ont leur sur couche ne font absolument rien. C tout bonnement scandaleux.







Tiens, c’est curieux j’était pourtant persuadé que le langage sms était interdit sur NXi…


votre avatar

Je me suis fait la même remarque la semaine dernière. Du coup j’ai testé le dirtyCow sur mon téléphone android, en générant un apk et ça a marché.

votre avatar







JustMe a écrit :



Sans compter ceux qui ventent les mérites des os Apple comme sécurisé, non vulnérable aux intrusion et autres malware.. la preuve que non… Et mac os est à la même enseigne qu iOS (à l époque de Vista, l os de Microsoft contenait même moins de faille critique découverte que Mac Os X)







Après, il faut aussi relativiser les failles… Une faille qui donne un accès root à distance est ultra grave. Une “faille” qui fait juste planter une appli annexe sans droits particuliers uniquement en local, on s’en fout…

Une faille qui donne un accès root en local mais depuis l’écran de login est très grave, un malware qui réclame le mot de passe administrateur à l’utilisateur, c’est ce que j’appelle un virus “belge” (c’est pas contre les Belges que j’utilise ce terme mais plutôt pour la bêtise des blagues du même nom).



Bref, il suffit pas de compter le nombre de failles recensées pour dire si c’est secure ou pas. Il faut aussi prendre en compte les impacts de chaque faille pour déterminer leur niveau de gravité.

Le gros problème de Windows (XP essentiellement) était surtout lié à la quantité de failles “remote” présentes par défaut. D’ailleurs, le grand pas en avant de Vista a surtout été de mettre un firewall par défaut. Ca a tout changé. Mais Windows a continué a être foireux tant qu’il laissait les utilisateurs connectés en admin par défaut (en partie à cause des virus belges et en partie à cause des failles locales).

Je connais pas la politique de MS à ce niveau pour Win10 mais j’espère sincèrement qu’ils ont enfin réglé ce problème…



MacOS comme Linux ne sont pas exempts de failles (loin s’en faut) mais ils ont une “hygiène” dans les réglages de sécurité par défaut qui les rendent largement meilleurs out-of-the-box.

Après, je sais pas exactement ce que font les mecs pour remporter le Pwn2Own mais j’ai l’impression que c’est beaucoup de la faille locale avec une session utilisateur ouverte. C’est assez grave mais c’est pas ça qui mettra mes datas en danger si je me la fais voler, si je l’oublie dans un train ou si je me promène sur le net à poil…


votre avatar

L’OS est trop sécurisé pour les hackers :-)

votre avatar

Le FBI n’approuve pas cet événement.

votre avatar

sauf que la c’est un tel a jour pas un Samsung premier prix pas suivi.

votre avatar

Je n’ai pas dit le contraire…



C’est si dur que çà à comprendre qu’une fois les failles trouvées et corrigées par la suite (donc après ce concours) il faudrait que les patchs soient diffusées pour sécuriser les gens, mais que les constructeurs/opérateurs ne jouent pas le jeu ?



Oui les téléphones se font trouer, tout comme les pcs, les macs, les voitures… mais si on diffuse les patchs, on limite la casse, surtout dans le cas de faille 0days non exploitée.

votre avatar

De toute façon meme sans ce concours les failles sont exploités et la c’est des normes qu’il faut sur les appareils, le truc que les assurances peuvent demander pour assurer des tels.

votre avatar

Des obligations de mises à jour et de suivi ? Je suis entièrement d’accord.



Des normes de sécurité genre “l’OS doit être invulnérable”… c’est vivre en dehors des réalités.

votre avatar
votre avatar

plus du type maj sur deux ans avec un délai de 3mois et pouvant être bloqué par l’utilisateur.

votre avatar

Moi je dirais plutôt 3 à 5 ans ^^”

votre avatar







Soriatane a écrit :



Ah. On n’est plus Admin! Bizarre Sur les vistas et Steven que j’ai utilisé je pouvais installé des logiciels sur le seul compte utilisateur du PC. J’avais juste un message avec l’écran qui s’assombrissant où je cliquais OK.

Sur Mac OS pour faire la même chose je dois glisser un bouton et sur Ubuntu je dois rentrer mon mot de passe. Bizarrement, je comprends mieux dans les 2 derniers que je fais quelques choses de peu ordinaire.



&nbsp;

Dans l’idée c’est tout pareil que GNU/Linux (sudo/su) et&nbsp;OSX.&nbsp;



Sous Windows tu n’es pas administrateur.&nbsp;Tu vas demander une élévation de droit (un jeton) pour le devenir (pour lancer une application par exemple). Ce jeton est donné uniquement si t’es dans le groupe administrateur local de la machine.

Note : Une faille récente permettait de récupérer un jeton sans être admin’. ;)&nbsp;


votre avatar







myk a écrit :



Je vois pas le rapport avec la choucroute vu que les appareils testés avaient les derniers correctifs… Android et ios sont des passoires point barre !





Tu exagères un poil. Et au moins chez&nbsp;Apple la màj concernera&nbsp;tout le monde jusqu’à l’iPhone 4S.&nbsp;


votre avatar

Oh il est velu celui là&nbsp;<img data-src=" /><img data-src=" />

votre avatar







darth21 a écrit :



Il y a des majs insider aussi régulières que les majs pc mais tu as raison, il est à peine maintenu et n’est plus dans les priorités …  <img data-src=" />







humm quand on regarde le contenu des MAJ, la part belle est faite aux PC, le mobile ne recoit que dalle si on compare.

Il n y a pas vraiment d’introduction de nouvelles fonctionnalites, ce qui est un peu drole vu que les insiders sont faites pour ca.

A mon avis, le cote mobile herite des miettes du cote pc, rien de folichon, les dernieres MAJ n’ont rien introduit du tout niveau OS alors qu’on parle de redstone 2, les app par contre evoluent, mais je soupconne que ce soit plus pour developer le cote PC, un effet secondaire des UWP quoi.



D’ailleurs j’ai quitte le programme insider, trop de bugs que meme des hard reset ne corrigent pas (le speech qui ne fonctionne plus en anglais depuis 4-5 mois alors qu’en francais ca passe, les tuiles qui n’affichent rien, les notifications qui arrivent totalement decalees), c’est pas mon tel principal mais ca me gave que les choses avancent trop lentement.


votre avatar







kurgan187 a écrit :






  .

votre avatar







sniperdc a écrit :



Oh il est velu celui là&nbsp;<img data-src=" /><img data-src=" />







Le test de faille est utile sur tous les OS sauf sur BlackBerry…… No troll.


votre avatar







sleipne a écrit :



J’ai pas trouvé d’info pour l’édition 2016, WinMobile n’était probablement pas représenté. En 2014 par contre, ce fut le seul OS à “survivre” :http://www.networkworld.com/article/2848396/microsoft-subnet/windows-phone-did-w…







pas de WM pour l’édition 2016





  • The Apple iPhone 6s

  • The Google Nexus 6p

  • The Galaxy S7





    source


votre avatar

Ce concours montre que lorsque des hackers ont un intérêt (argent, renommée, …) à exploiter des failles, il y arrivent… quel que soit le nom de l’éditeur du système d’exploitation.



#MythBusters

votre avatar

Pour windows 10 c’est toujours la même chose pas d’élévation pour installer quoique ce soit.

Pas grave ça fait bosser les dépanneurs et par moment c’est juste énorme à ce demander ce que les utilisateurs ont dans la tête…

votre avatar

Le dev de mon kernel l’a déjà patch.&nbsp;

votre avatar

C’est ce que j’adore dans la “sécurité” telle qu’elle est abordée dans les médias mainstream. Et c’est déjà dans l’esprit des gens, tel OS est top niveau sécurité comparé aux autres, avoir les dernières mise-à-jour c’est forcément génial pour la sécurité, ils utilisent du chiffrement de dieu!… et à la fin, la véritable faille c’est celle dont on ne connait pas l’existence.

votre avatar







SLV17 a écrit :



Pour windows 10 c’est toujours la même chose pas d’élévation pour installer quoique ce soit.

Pas grave ça fait bosser les dépanneurs et par moment c’est juste énorme à ce demander ce que les utilisateurs ont dans la tête…





Oulaaaa va falloir redescendre deux secondes de ton nuage élitiste et te rendre compte que 90% des gens n’en ont rien à foutre de savoir comment fonctionnent leur PC !! Tu vas traiter de mauvais noms les gens qui savent pas comment fonctionnent leur voiture ? Comment fonctionnent leurs banques ??? toi même sais-tu comment fonctionne absolument n’importe quoi qui représente un danger pour ton intégrité physique/morale/financière ?? (l’avion que tu prends, la voiture que tu conduits, la banque qui détiens ton argent, ta CB que tu utilises …) bref non tu fais à un moment ou à un autre CONFIANCE.



La responsabilité elle est :

1/ gouvernementale pour ne pas protéger ses propres citoyens face à ces choses là (on a bien des normes sécurité pour les voitures, les avions, les banques etc …) il y’a d’ailleurs un manque clair de législation sur les nouvelles techno et la sécurité de nos données.

2/ au niveau des développeurs, mais vu que le 1/ n’est pas présent et bien c’est pas demain qu’on aura du suivit sérieux sur ces choses là.



Bref évitons d’insinuer que les gens sont cons parce qu’ils ne se soucient pas de savoir s’ils sont “root” de leur machine ou non …


votre avatar







KP2 a écrit :



c’est ce que j’appelle un virus “belge” (c’est pas contre les Belges que j’utilise ce terme mais plutôt pour la bêtise des blagues du même nom).









http://www.labo-microsoft.org/images/perles/virus_belge.jpg <img data-src=" />


votre avatar







Olbatar a écrit :



Tiens, c’est curieux j’était pourtant persuadé que le langage sms était interdit sur NXi…





Ninport koi lol XD


votre avatar

Faut bien gardé a l’esprit qu’ils avaient un accès physique aux téléphones et dans ce cas la il n’existe pas de système infaillible sans imposer de lourdes contraintes a l’utilisateur, ce que ne pourrait pas gérer madame Michu au quotidien. Ce scénario d’attaque n’est pas très représentatif des attaques a distances qui ont plus de chance d’arriver que des accès physiques.

votre avatar







JustMe a écrit :



L autre utilité de ce genre de concours est d ouvrir les yeux des gens qui aujourd’hui confie plus de données à leurs smartphones qu à leur pc (photos, vidéo, app bancaire, mail, app shopping…)







pas d’accord : comme tu l’indiques les gens s’en foutent.

ils veulent un smartphone qui leur plait, qui leur ressemble, un lien de divertissement avant tout, un appareil qui rassemble tout leur petit monde numérique.



Ils ne souhaitent pas etre sensibilisés par le geek préventif, qui leur dira “attention c’est dangereux” pour eux non parce que meme le jour ou ils seront piratés ils s’en rendront pas compte et voudront pas savoir pour continuer a utiliser leur smartphone dans des conditions personnelles.



c’est leur droit, et la sensibilisation n’est qu’une idéologie servant à en influencer d’autres de manière à ce que les gens prennent pour exemple un anti-conformisme.



oui, les gens foutent des données personnelles dans leur tel, oui dans cinquante ans ils feront pareil, ils sont pleinement responsables mais tant que rien n’arrive (puisque rien n’arrive, et rien n’arrivera), ca ne changera pas.



laisses les profiter de leur choix légitime, c’est tout.

faut arreter d’essayer de changer les mentalités.


votre avatar







SebGF a écrit :



http://www.labo-microsoft.org/images/perles/virus_belge.jpg <img data-src=" />







Oui voila, c’est un peu ça… le genre de malware qui demande une participation active de l’utilisateur.


votre avatar

Tu fais donc confiance à un inconnu pour ne pas installer les pires merdes.<img data-src=" />

votre avatar

Ce sont les chinois du FBI qui ont gagné <img data-src=" />

votre avatar







arno53 a écrit :



Pas de test sur Win10 Mobile ?







Si, mais la recompense est pour celui qui y trouve un truc qui marche. C’était pas le but de ce concours.


votre avatar







agent47 a écrit :



Faut bien gardé a l’esprit qu’ils avaient un accès physique aux téléphones et dans ce cas la il n’existe pas de système infaillible sans imposer de lourdes contraintes a l’utilisateur, ce que ne pourrait pas gérer madame Michu au quotidien. Ce scénario d’attaque n’est pas très représentatif des attaques a distances qui ont plus de chance d’arriver que des accès physiques.







Mobile Pwn2Own 2016 Rules:

An attempt must be launched from the target under test by either browsing to the malicious content in the default browser or by viewing/receiving a malicious MMS/SMS message.



Moi, ca me semble assez représentatif des “attaques a distances” que peut subir “madame Michu au quotidien”.


votre avatar







Maicka a écrit :



Le FBI n’approuve pas cet événement.





au contraire, cela leur permet de mieux choisir leur sous traitants/fournisseurs pour casser les téléphones. Le FBI va ainsi faire une offre mieux dotée à l’équipe gagnante pour avoir l exclu des bugs avant ce genre d événements. Reste à voir si ils sont près à subventionner une équipe chinoise qui aurait peut etre un contrat similaire avec les services chinois…


votre avatar

J’ai pas trouvé d’info pour l’édition 2016, WinMobile n’était probablement pas représenté. En 2014 par contre, ce fut le seul OS à “survivre” :http://www.networkworld.com/article/2848396/microsoft-subnet/windows-phone-did-w…

votre avatar

une fois de plus, je ne comprends pas la stratégie de Microsoft. S’il veut positionner Windows 10 Mobile pour les pro, et qu il a confiance ds leur système de sécurité, il devrait promettre des sommes importantes pour les failles de sécurité afin que les chercheurs puissent contribuer au succès de l OS.

votre avatar

Windows 10 Mobile est dans les limbes pour l’instant : pas tout à fait mort, mais plus d’actualité non plus.

Il n’y a plus de téléphone, l’OS est bugué et à peine maintenu.

Ce n’est plus dans les priorités officiellement, mais on peut toujours espérer son retour un jour.

votre avatar

ceux qui trouveront la faille vont avoir la chance d’obtenir une formation gratuite chez eux&nbsp; et d’être engagé dans l’entreprise de son choix par la suite <img data-src=" />

votre avatar

Dans le prochain surface phone studio



<img data-src=" />



&nbsp;

votre avatar







cthoumieux a écrit :



Le souci c que ok google fait son tar et corrige les faille. Samsung et autre fabriquant les corrige aussi sur certains modèles. Mais derrière les opérateurs qui ont leur sur couche ne font absolument rien. C tout bonnement scandaleux.





Le matériel est dépassé, il faut acheter un nouvel appareil tout simplement.


votre avatar

yup, j’ai mis à jour ma machine sous antergos et les serveurs que je gère, sous debian. C’est embêtant, parce qu’il faut redémarrer…

votre avatar







Aloyse57 a écrit :



Windows 10 Mobile est dans les limbes pour l’instant : pas tout à fait mort, mais plus d’actualité non plus.

Il n’y a plus de téléphone, l’OS est bugué et à peine maintenu.

Ce n’est plus dans les priorités officiellement, mais on peut toujours espérer son retour un jour.



Il y a des&nbsp;majs insider&nbsp;aussi régulières que les majs pc mais tu as raison, il est à peine&nbsp;maintenu et n’est plus dans les priorités&nbsp;…&nbsp; <img data-src=" />


votre avatar







darth21 a écrit :



Il y a des majs insider aussi régulières que les majs pc mais tu as raison, il est à peine maintenu et n’est plus dans les priorités …  <img data-src=" />





Ah donc parce qu’il y a des MAJ mineures de temps en temps ça en fait un système prioritaire. Non désolé mais WM n’est clairement plus quelque chose que MS veut pousser. J’ai aussi un WP mais à un moment faut arrêter la mauvaise foi, ça n’avance pas, et ça n’avancera pas plus dans le futur pour le moment, point. Peut être qu’un jour ils décideront de s’y remettre sérieusement chez MS.


votre avatar







gogo77 a écrit :



Ah donc parce qu’il y a des MAJ mineures de temps en temps ça en fait un système prioritaire. Non désolé mais WM n’est clairement plus quelque chose que MS veut pousser. J’ai aussi un WP mais à un moment faut arrêter la mauvaise foi, ça n’avance pas, et ça n’avancera pas plus dans le futur pour le moment, point. Peut être qu’un jour ils décideront de s’y remettre sérieusement chez MS.



Majs mineures de temps en temps, mais bien sur&nbsp;:&nbsp;

&nbsphttps://blogs.windows.com/windowsexperience/tag/windows-10-mobile-insider-previe…

&nbsp;

Oui, commercialement wm est quasi à l’arrêt en ce moment, mais dire que MS le laisse tomber ou que ça n’avance pas c’est totalement &nbsp;faux, preuve en est qu’il continue à évoluer en même temps que w10 desktop.


votre avatar

Lui il parle de ce que l’utilisateur voit comme changement rt il faut l’avouer le système évolue moins vite que la version pc et android (ios est deja bien avancé mais pas autant qu’android). Soit Microsoft attend la fin de la migration de win10 (interface, paramètre, noyaux) avec redstone 2, soit ils attendent une augmentation de puissance pour permettre le mode continuum sur les tels bas de gamme

votre avatar







KP2 a écrit :



Après, il faut aussi relativiser les failles… Une faille qui donne un accès root à distance est ultra grave. Une “faille” qui fait juste planter une appli annexe sans droits particuliers uniquement en local, on s’en fout…

Une faille qui donne un accès root en local mais depuis l’écran de login est très grave, un malware qui réclame le mot de passe administrateur à l’utilisateur, c’est ce que j’appelle un virus “belge” (c’est pas contre les Belges que j’utilise ce terme mais plutôt pour la bêtise des blagues du même nom).



Bref, il suffit pas de compter le nombre de failles recensées pour dire si c’est secure ou pas. Il faut aussi prendre en compte les impacts de chaque faille pour déterminer leur niveau de gravité.

Le gros problème de Windows (XP essentiellement) était surtout lié à la quantité de failles “remote” présentes par défaut. D’ailleurs, le grand pas en avant de Vista a surtout été de mettre un firewall par défaut. Ca a tout changé. Mais Windows a continué a être foireux tant qu’il laissait les utilisateurs connectés en admin par défaut (en partie à cause des virus belges et en partie à cause des failles locales).

Je connais pas la politique de MS à ce niveau pour Win10 mais j’espère sincèrement qu’ils ont enfin réglé ce problème…



MacOS comme Linux ne sont pas exempts de failles (loin s’en faut) mais ils ont une “hygiène” dans les réglages de sécurité par défaut qui les rendent largement meilleurs out-of-the-box.

Après, je sais pas exactement ce que font les mecs pour remporter le Pwn2Own mais j’ai l’impression que c’est beaucoup de la faille locale avec une session utilisateur ouverte. C’est assez grave mais c’est pas ça qui mettra mes datas en danger si je me la fais voler, si je l’oublie dans un train ou si je me promène sur le net à poil…





Pour pas changer&nbsp;KP2 parle sans connaitre le sujet.

Spoiler :&nbsp;On est plus admin’ par défaut depuis Windows Vista.


votre avatar

Je vois pas le rapport avec la choucroute vu que les appareils testés avaient les derniers correctifs… Android et ios sont des passoires point barre !

votre avatar

Ah. On n’est plus Admin! Bizarre Sur les vistas et Steven que j’ai utilisé je pouvais installé des logiciels sur le seul compte utilisateur du PC. J’avais juste un message avec l’écran qui s’assombrissant où je cliquais OK.

Sur Mac OS pour faire la même chose je dois glisser un bouton et sur Ubuntu je dois rentrer mon mot de passe. Bizarrement, je comprends mieux dans les 2 derniers que je fais quelques choses de peu ordinaire.

votre avatar

Le rapport c’est que les failles existent et bien que corrigées par Google, les constructeurs ne faisant rarement les mises à jours sur la majorité des smartphones hors flagship, la population reste vulnérable.

votre avatar

Oui le message c’est justement l’élévation de privilège.

Par contre ton compte devait être “admin” (mais qui fonctionne sans droit supplémentaire) tout de même s’il ne te demandait pas de mot de passe. C’est le type de compte par défaut pour le 1er compte.

Mobile Pwn2Own 2016 : les Nexus 6P et iPhone 6 s sont tombés

  • Le Nexus 6P a accepté une installation d'application

  • Vol de données et installation d'application pour l'iPhone 6 s

  • Presque deux tiers des récompenses potentielles pour Tencent

Fermer