Mobile Pwn2Own 2016 : les Nexus 6P et iPhone 6s sont tombés

Le concours Mobile Pwn2Own 2016 mettait en jeu cette année un gain potentiel de 375 000 dollars. Comme pour le concours concernant les navigateurs, il invite les hackers et autres équipes de sécurité à percer les défenses des smartphones. L’équipe de Tencent s’est particulièrement démarquée.

La version 2016 du concours Mobile Pwn2Own se déroulait à Tokyo. Il mettait en scène principalement un iPhone 6s et un Nexus 6P, tous deux mis à jour pour prendre en compte tous les plus récents correctifs de sécurité. Le but ? Percer quand même leurs défenses pour réaliser différentes actions, comme voler des données, réussir à installer une application, etc.

Le Nexus 6P a accepté une installation d'application

Une équipe s’est clairement illustrée pendant le concours : la Keen Security Lab Team du chinois Tencent. Elle a commencé par s’en prendre au Nexus 6P de Google, équipé donc de la dernière révision d’Android disponible. Ils se sont introduits dans le système en tirant parti d’une combinaison de deux failles puis, une fois dans le système, se sont servis de plusieurs autres vulnérabilités.

Avec cette conjonction de brèches, ils ont réussi à forcer, à plusieurs reprises, l’installation d’une application, sans que le système n'y trouve à redire. Pour avoir prouvé que leur méthode était fonctionnelle, ils ont remporté 102 500 dollars. Toutes les failles ont été remontées à Google.

Vol de données et installation d'application pour l'iPhone 6s

Ils se sont ensuite attaqués à l’iPhone 6s. Là encore, ils ont utilisé deux failles de sécurité, toutes deux centrées sur la mémoire (une « use-after-free », l’autre de type corruption). Par cette porte, ils ont réussi à dérober des photos présentes sur l’appareil, et ont ainsi empoché 52 500 dollars supplémentaires.

Ils ont enchainé avec une application maison à installer sur l’appareil. Ils ont utilisé pour cela une série d’autres bugs sur lesquels nous n’avons aucune information. La procédure a réussi, mais seulement de manière partielle. L’application est considérée comme pleinement installée si elle survit au redémarrage de l’appareil, ce qui n’a pas été le cas ici. Pour les bugs trouvés et la méthode utilisée, ils ont quand même empoché 60 000 dollars.

Presque deux tiers des récompenses potentielles pour Tencent

Sur les 375 000 dollars potentiels du concours, l’équipe de Tencent a donc récupéré 215 000 dollars. Deux chercheurs de MWR Labs, Robert Miller et Georgi Geshev, ont de leur côté failli remporter une enveloppe en s’attaquant eux aussi au Nexus 6P pour y installer une application. Malheureusement, il semble qu’un patch de sécurité récent pour Chrome ait rendu leur méthode instable. L’installation n’a donc pas pu se faire dans le temps imparti, mais les failles ont été, là encore, remontées.

La Zero Day Initiative, qui gère ces concours, insiste sur l’intérêt de ce type de compétition. Non seulement ils servent à concentrer les détails de failles qui auraient pu être exploitées par des pirates, mais ils permettent aussi de suivre les tendances dans cette exploitation. Les méthodes utilisées sont examinées de près, ZDI indiquant par exemple que l’équipe Tencent s’est montrée « innovante » dans ce domaine.

Précisons que tous les concours « Pwn2Own » ont une politique claire de remontée des failles aux éditeurs concernés, que l’exploitation ait fonctionné ou non.