Une équipe néerlandaise de hackers a gagné le volet de la compétition Pwn2Own consacré aux téléphones mobiles. Elle a réussi à hacker un iPhone 4S avec iOS 5.1.1 grâce à une faille de sécurité découverte dans le Webkit. Cette faille était aussi présente, lors du concours, sur la dernière version bêta d’ioS 6 et elle est compatible avec l’iPad, l’iPhone 4 ainsi que toutes les précédentes générations d’iPod Touch.

Lorsqu’un internaute se rend sur un site contenant le code malveillant, les dispositifs de sécurité de Safari sont contournés. Ce code peut être intégré par exemple dans un élément de la page, comme un bandeau pub ou n’importe où ailleurs. Son exploitation permet aux hackers d’accéder au contenu du mobile et de récupérer les données, carnet d’adresses, photos, vidéos…
L’équipe, qui a travaillé 3 semaines en partant de 0 pour découvrir la faille, touche la prime du concours, 30 000$.

La méthode permettant d’exploiter cette faille ne sera jamais rendue publique, et l’équipe qui a mis au pont ce hack a effacé toute trace de leurs machines.

Cette nouvelle session du concours Pwn2Own mettait au défi des spécialistes de trouver une faille dans quatre domaines au choix : un navigateur web mobile, la NFC (lire : Pwn2Own : une faille dans le NFC du Galaxy SIII), les SMS ou dans un baseband.