Troll du mois : Le QR-Code hack de Jester

Il y a un peu plus d’une semaine, celui qui se définit comme un hacker patriote, prétendait sur son blog avoir réussi à pwner des membres de LulzSec, d’Anonymous, des extrémistes islamiques et/ou supporters d’Al-Qaïda ainsi que le représentant de l’état de Rhodes Island (pour une raison d’article qui ne lui aurait pas plu).

Sa technique ? L’utilisation d’un code QR comme avatar pour son compte Twitter.
Une fois le code scanné, celui-ci renvoyait l’URL d’une page web formatée pour exploiter une vulnérabilité dans le composant WebKit (utilisé par différents navigateurs).
L’exploit provoquait alors un shell connect-back chez Jester qui pouvait siphonner les infos présentes sur le smartphone de sa victime.

Il n’aura pas fallu longtemps pour que ce scénario bien trop ficelé soit remis en question.

Tout d’abord l’article de th3j35t3r manque cruellement de détails techniques et il aura fallu un article de SANS ISC pour obtenir une hypothèse de la faisabilité d’une telle attaque.

Et c’est là qu’on se rend compte que de nombreux points clochent.
Jester indique que le code QR a été scanné 1200 fois et que 500 fois l’exploitation a réussie… Pour un exploit datant de 2010 qui a été patché ça fait un sacré bon pourcentage (sans compter que ça fait beaucoup de curieux pour une bête image QR).
De même il prétend que son exploit fonctionne aussi bien sur Android (Google) que IOS (Apple)…
Il aurait récupéré les shells de ses victimes en faisant tourner un netcat en écoute sur une machine… seulement netcat ne peux pas gérer plusieurs connexions en simultané ce qui laisse supposer que des exploitations réussies lui seraient passé sous le nez (à raison de 100 cnxs par jour d’après ses dires). Par conséquence son exploit de 2010 patché depuis belle-lurette serait encore plus effectif :p

Comme seule preuve il poste sur son blog un morceau de screenshot du shellcode sur lequel on peut voir… 9 caractères unicode ainsi que les données récupérées… chiffrées avec une clé PGP inconnue. Bref autant ne rien poster.
Quand à l’augmentation de privilèges sur les mobiles… silence radio.

Et enfin alors qu’il prétend avoir pwné le représentant de Rhodes Island, ce dernier indique n’avoir jamais scanné le fameux code QR…

Sources :
ReaperSec
TheRegister
pastebin