La mise à jour iOS 11.1 est toute fraîche. En matière de sécurité, elle corrige une vingtaine de vulnérabilités, dont la fameuse faille KRACK en rapport avec le protocole Wi-Fi Protected Access (WPA) utilisé pour la sécurisation des réseaux Wi-Fi. Pour autant, d'autres patchs vont être nécessaires.
Dans le cadre de l'édition 2017 du concours de hacking Mobile Pwn2Own, l'équipe chinoise Tencent Keen Security Lab a encore frappé. Elle a une nouvelle fois remporté le titre de Master of Pwn. Une de ses réussites à 110 000 $ - mais il y a aussi eu des échecs - est un exploit Wi-Fi sur l'iPhone 7 d'Apple équipé d'iOS 11.1.
Here's a quick recap of the Day 1 results for #Mobile #Pwn2Own 2017. Watch the blog for updates and more details coming soon. pic.twitter.com/tafmN9Bbzk
— Zero Day Initiative (@thezdi) 1 novembre 2017
Les hackers ont utilisé un total de quatre bugs pour parvenir à une exécution de code et une élévation de privilèges permettant à leur application malveillante de persister après un redémarrage de l'iPhone. L'exploit Wi-Fi a été récompensé à hauteur de 60 000 $, et avec un bonus de 50 000 $ pour la persistance du malware.
Les vulnérabilités mises au jour sont tenues secrètes pour le moment. À Forbes, un porte-parole de Trend Micro (le concours est organisé par Zero Day Initiative de Trend Micro) a déclaré : " L'iPhone se connecte à un réseau Wi-Fi et une application malveillante est installée. De l'information sensible peut être exfiltrée de l'appareil pris pour cible. "
That wraps up Day 2 and #Mobile #Pwn2Own 2017. Here's a quick recap of today's results. We'll have a full recap on the day's events soon. pic.twitter.com/3oCZr42r0X
— Zero Day Initiative (@thezdi) 2 novembre 2017
Comme Apple, Huawei et Samsung auront 90 jours pour corriger les vulnérabilités exploitées pendant le Mobile Pwn2Own. Elles ne seront pas divulguées publiquement. Des représentants de Google étaient également présents lors du concours étalé sur deux jours.
