Exploiter un bug de l’iPhone pour pirater la Nintendo Switch

La réutilisation de codes sources ouverts est très répandue de nos jours, dans la mesure où elle permet de sortir de meilleurs produits à un rythme plus rapide. Elle s’accompagne également de conséquences sur la sécurité, avec des vulnérabilités transmises à de multiples projets.
La Nintendo Switch™ est sortie tout récemment, et les pirates ont déjà trouvé un moyen de procéder à l’exécution de codes à distance sur celle-ci. La console de jeu ne dispose pas d’un véritable navigateur web, mais intègre WebKit, qui permet de connecter l’appareil sans fil dans les lieux publics où une interaction avec un portail captif est nécessaire avant de rejoindre le réseau Wi-Fi.
La version de WebKit contenue dans la Switch est une version ancienne, et contient une vulnérabilité de corruption de mémoire (CVE-2016-4657) autrefois exploitée par le programme malveillant Pegasus pour débrider silencieusement les appareils iPhone fonctionnant sous iOS 9.3 et versions antérieures. Le malware exploitait la faille à un stade initial de l’attaque, avec pour but ultime d’espionner des cibles spécifiques.
Écrire le code permettant d’exploiter le bug est une tâche demande un niveau de technicité avancé, mais tirer parti de la faille est à la portée de tous. Une vidéo expliquant étape par étape la marche à suivre pour pirater la console de jeu a été publiée par LiveOverFlow, tandis qu’un groupe de chercheurs diffusait PegaSwitch, un outil qui aide à prendre le contrôle du composant WebKit et permet de « lire/écrire dans la mémoire, d’appeler des fonctions natives et d’explorer les fonctionnalités de la Switch à partir du processus WebKit ».
Le piratage de la Nintendo Switch n’a rien d’extraordinaire en soi, mais le fait de pouvoir le faire en raison de codes réutilisés est une chose qui devrait être sérieusement prise en considération, en particulier par les développeurs. L’utilisation de codes sources ouverts présente assurément des avantages, mais elle implique également la responsabilité de suivre tous les développements pouvant avoir une incidence négative sur le produit, et de les mettre à jour aussi rapidement que possible.
tags
Auteur
Actualités
Les + populaires
Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant
Août 11, 2021
Cinq conseils pour renforcer la sécurité de votre compte Apple
Juillet 16, 2021
Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique
Juin 30, 2021
7 conseils de sécurité pour protéger votre mobile et vos données personnelles
Juin 23, 2021
Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe
Mai 06, 2021
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi
Août 17, 2020