Le Google Pixel s’est fait cracker en 60 secondes chrono

Le Pixel a été pris pour cible par une équipe de hackers chinois durant le concours PwnFest, organisé la semaine dernière. Ils n’ont eu besoin que de 60 secondes pour le cracker. Impressionnant, non ?

Pour ceux qui ne le connaîtraient pas encore, le PwnFest est un festival dédié à la sécurité et aux bugs. Chaque année, les organisateurs et leurs sponsors proposent aux hackers et aux bidouilleurs de tout poil de venir à bout de différents produits sélectionnés par leurs soins, avec de nombreuses récompenses à la clé.

HAck Pixel

Le Pixel s’est fait cracker par des hackers chinois la semaine dernière.

Cette année, plusieurs marques étaient présentes et c’était notamment le cas de Microsoft, Apple, Adobe ou encore Google.

Le PwnFest 2016 s’est déroulé la semaine dernière à Séoul

Les hackers présents sur place se sont attaqués à différents produits comme Edge, Flash, iOS 10, Chrome ou encore… Android 7.0 Nougat. Pour ce dernier, ils devaient tout simplement pirater un Nexus 6P ou un Pixel afin de gagner la récompense mise en jeu, une récompense atteignant la modique somme de 120 000 $.

Plusieurs équipes ont relevé le défi, mais elles ont toutes été éclipsées par un groupe de plusieurs hackers chinois.

En s’appuyant sur une vulnérabilité de type “zero day” (et donc sur une vulnérabilité n’ayant aucun correctif connu) propre au Pixel, ces bidouilleurs de l’extrême ont réussi à accéder au terminal à distance. Ensuite, ils en ont profité pour démarrer Chrome et afficher la phrase “Pwned by 360 Alpha Team”, mais également pour lancer le Play Store, sous le regard médusé des personnes présentes sur place.

Mais le plus impressionnant, dans l’histoire, c’est qu’ils n’ont eu besoin que de soixante secondes pour trouver la faille et pour l’exploiter. C’est évidemment très impressionnant, d’autant que cette vulnérabilité aurait pu être utilisée pour récupérer les données stockées sur le téléphone ou même pour installer des programmes vérolés.

60 secondes pour trouver et exploiter une faille “zero day”

Google a évidemment suivi avec attention leur performance. La firme a ensuite demandé à ses ingénieurs de corriger la faille, ce qui a été fait le lendemain. Un correctif a été déployé dans la foulée sur le Pixel afin d’éviter que d’autres hackers moins scrupuleux d’exploitent cette vulnérabilité pour leur propre compte.

En marge du PwnFest, il faut rappeler que la plupart des constructeurs ont mis en place des programmes de chasseurs de bugs, des programmes qui récompensent les hackers pour leurs découvertes.

Google est un habitué de la chose, bien sûr, et il est d’ailleurs à la tête d’un des programmes les plus actifs du marché.