Le Google Pixel hacké en moins d’une minute

Le dernier smartphone de Google a peut être de nombreuses qualités, mais question sécurité, il reste vulnérable. C’est ce qu’ont démontré des hackers « white hat » (qui agissent de façon légale) chinois.

Ces derniers sont membre de la 360 Alpha Team et ont participé à la PwnFest compétition de Séoul. Cet événement, reproduit dans de nombreux pays, permet à des hackers « blancs »

de faire la démonstration de leurs talents en piratant divers logiciels et terminaux qui leur sont présentés. Lorsqu’ils y parviennent (avant les autres, ou bien en découvrant des failles vraiment critiques),

ils obtiennent des récompenses.

En parvenant à déceler une faille de sécurité « zero day » (qui n’avait jamais été exploitée auparavant) dans le Pixel, les hackers sont parvenus à exécuter à distance du code sur le smartphone.

Accéder aux données du Pixel sans avoir à s’identifier

Pour les besoins de la démonstration, ils se sont servis de leur découverte pour lancer le Play Store, ainsi qu’une page web sur Chrome présentant la phrase « Pwned by 360 Alpha Team »

sans pour autant avoir eu à s’identifier sur le terminal (code pin, pattern de sécurité…).

Des hackers potentiellement mal intentionnés auraient pu exploiter cette vulnérabilité pour atteindre les données sensibles sur smartphone.

Les compétitions de hack, véritables bénédiction pour les entreprises

Avec cette découverte, la 360 Alpha Team a gagné 120 000 dollars. Pour des entreprises comme Google, les « white hat » compétitions sont avantageuses car elles permettent

de tester leurs produits et de mettre à profit le talent de ces hackers pour combler des vulnérabilités que leurs propres services n’avaient pas envisagées.

D’après la 360 Alpha Team, la faille de sécurité a d’ailleurs été corrigée moins de 24 heures après la découverte.

Source : ubergizmo