Des hackers participant au célèbre événement de piratage Pwn2Own à Toronto, au Canada, ont pu trouver plusieurs failles critiques de type “zero-day” en tentant de pirater un téléphone Galaxy S22.
Lors du célèbre événement Pwn2Own Toronto 2022, le Galaxy S22 a été malmené par différents pirates. Pour rappel, Pwn2Own est un concours de piratage organisé chaque année par la Zero Day Initiative (ZDI), qui donne aux hackers et aux chercheurs en sécurité l’occasion de démontrer leurs compétences tout en découvrant des vulnérabilités de type “zero-day”.
Les différents pirates ont mis en lumière des failles critiques de type “zero-day” dans des routeurs, des imprimantes, des haut-parleurs intelligents et des périphériques NAS (Network Attached Storage) de HP, NETGEAR, Synology, Sonos, TP-Link, Canon, Lexmark et Western Digital. Cependant, les vulnérabilités les plus impressionnantes auraient été trouvées dans le dernier smartphone Samsung haut de gamme, le Galaxy S22.
LE GALAXY S22 PIRATÉ EN UN TEMPS RECORD
Le premier jour de Pwn2Own Toronto, l’équipe de STAR Labs et un concurrent connu sous le nom de Chim ont fait la démonstration de deux failles critiques sur le Galaxy S22, qui permettaient aux hackeurs d’accéder à l’intégralité du smartphone. Le smartphone a de nouveau été piraté au cours du deuxième jour par une équipe nommée Pentest Limited.
Lors du troisième jour, les participants ont également réussi à pirater le Samsung Galaxy S22 une quatrième fois depuis le début de la compétition, et cette fois, ils l’ont fait en seulement 55 secondes. Des chercheurs en sécurité de Pentest Limited ont présenté une démonstration d’une vulnérabilité “zero-day” pour le Galaxy S22, qui utilise une attaque de type “Improper Input Validation” pour accéder à l’appareil en moins d’une minute.
Grâce à leur trouvaille, les chercheurs en sécurité ont reçu cinq points et ont remporté un prix de 25 000 dollars. Dans les quatre cas, selon le règlement du concours, les appareils fonctionnaient avec la dernière version du système d’exploitation Android et toutes les mises à jour disponibles étaient installées.
Tous les hackers présents sur l’événement ont évidemment un niveau très élevé en piratage. Cependant, un piratage en moins d’une minute démontre que le smartphone n’est pas un champion de la sécurité. On vous recommande donc évidemment de toujours installer les dernières mises à jour de sécurité sur vos smartphones.
