Le chercheur en sécurité Collin Mulliner vient de publier la » proof-of-concept « de plusieurs vulnérabilités découvertes depuis six mois dans les MMS (ou mini-messages multimedia).
Ces ‘bugs’ sont exploitables sous les PDA utilisant le logiciel Windows Mobile.
La première fois qu’il a trouvé ces failles, il a immédiatement informé les revendeurs de logiciels. Ces derniers n’ont pas pris le temps de répondre.
En réaction, face à cette lenteur qui peut inquiéter les utilisateurs de ‘smartphones’ et de PDA, il a décidé de publier son exploit lors du 23è congrès dédié au hacking, le » Chaos Communication » qui s’est tenu à Berlin en décembre 2006.
L’idée de cette provocation étant d’accélérer la publication d’un correctif.
La faille concerne notamment des vulnérabilités « buffer overflow » (saturation de la mémoire tampon) dans le protocole SMIL (Synchronized Multimedia Integration Language) utilisé par les MMS.
Du coup, les longs MMS qui contiennent du code malveillant peuvent entraîner le crash du terminal. Pour l’instant seuls deux modèles, les IPAQ 6315 et i-mate PDA2k sont vulnérables.
Mais d’autres produits utilisant Pocket PC 2003 et Windows Smartphone 2003 seraient exposés à cette vulnérabilité. Il faut simplement du temps aux chercheurs pour en établir la liste.
Cependant, il faut nuancer : même sur les produits vulnérables, l’attaquant doit être très fort s’il veut provoquer l’arrêt ou blocage totale du téléphone.
En effet, il doit connaître l’emplacement exact (slot) utilisé par la mémoire lors de l’envoi d’un message multimédia. L’exploitation de la PoC (Proof of concept), est donc loin d’être facile.
____
Ci-dessous: illustration d’un cas d’attaque qui peut mettre un terminal smartphone « down »:
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…