CanSecWest:faille pour Safari Mobile
La conférence CanSecWest, qui regroupe des hackers du monde entier, a déjà fait sa première victime : l’iPhone ! Vincenzo Iozzo et Ralf Philipp Weinmann ont exploité une faille de Safari Mobile pour extraire la base de données des SMS sur un serveur.
La même faille permettrait de récupérer photos et musique… et elle ne prend que 20 secondes pour s’exécuter, le tout sans casser un des «bacs à sable» d’iPhone OS. Il a en fait suffit de se rendre sur un site malicieux via le navigateur de l’iPhone.
Sans trop rentrer dans les détails, cette faille exploite pour la première fois le «return oriented programming» sur un appareil ARM, une technique qui permet de réaliser rapidement des codes binaires exécutables que les technologies de prévention d’exécution ne peuvent prévenir.
Une conférence sur cet exploit se tiendra aujourd’hui. Apple sera informée des détails, dans l’espoir qu’un prochain firmware viendra le corriger.
