Il s’est averé que Nexus One est beaucoup plus vulnérable que l’on pensait. Une installation d’un système d’exploitation GNU/Linux est désormais possible, en prèsence d’un système Android , Ubuntu peut être installé et executé grâce a VNC , pour se connecter au bureau d’Ubuntu et profité des services que offre cette distribution .
2010-6
8
Le gadget renseignements version publique
IRIScan Anywhere2 est un petit gadget qui scanne vos documents papiers, sans être relié à un ordinateur, le tout est stocké dans une petite carte mémoire SD, une gratuire de 1Go vous est offerte.
L’appareil marche sous batterie, vous pourrez scanner toute la journée, jusqu’à 100 pages A4 d’autonomie, et puis insérer votre carte SD le soir, pour voir tous vos documents.
Si ça vous tente c’est par ici : http://www.irislink.com/c4-1739-225/World-Premiere–IRIScan-Anywhere-2.aspx?adwp=GGB-ISAny-Promo et ça coûte 169€.
2010-5
29
Chrome et Opera, le mensonge originel
Vous avez sans doute tous vu, la video que l’équipe de Google Chrome a mis sur Youtube, là ou l’on avait des scènes mais honnêtement hollywoodiennes.
Opera, qui est dailleurs lui aussi plus rapide qu’une patate, n’a pas hesité à le démontrer à son tour.
Chrome a mis tous les détails sur la description de la video, en termes de matériel utilisé, ils disent avoir chargé une page en local, en changeant les fichiers hosts peut être ? parceque on voit bien qu’ils entrent le nom de domaine dans la barre d’adresse, et ils disent aussi qu’ils testent le rendement uniquement. Ils se font aussi critiquer pour la manière dont les pages sont affichés, certaines s’affichent d’en bas jusqu’en haut, d’autres en deux parties, bref, Chrome a mis tous ses alibis dans la description de la video.
2010-5
28
Chatter avec soi-même sur facebook
Quelqu’un s’est-il demandé s’il est possible de chatter avec soi-même sur facebook ? Et bien sachez que désormais c’est possible, avec un peu de curiosité, j’ai cherché la méthode derrière le lien « Discuter avec Marion », c’est juste un exemple hein, ne vous excitez pas trop vite.
Le clic sur le lien déclenche une méthode de la classe buddyList, nommée itemOnClick, et qui prend comme argument l’id de Marion notre mannequin du jour,
toujours avec un peu plus de curiosité, j’ai parcouru les autres classes en utilisant l’onglet DOM de firebug, et à ma surprise je découvre que je faisait partie de la liste, y avait un objet instancié qui m’appartenait, du coup je me suis dit tiens, si je remplace l’id de Marion par mon id, je devrais pouvoir « bugger » facebook au moins, je m’attendais à un message d’erreur ou une exception ou quelque chose du genre or une jolie petite fenêtre s’ouvre devant moi.
Bon comme vous le savez, le respect de la vie privée et facebook ne s’accordent pas en ce moment, je ne sais pas, mais je pense qu’il est possible de « recevoir/envoyer » en tant qu’une autre personne, si on s’amuse à changer les ids avec FireBug, je n’ai pas trouvé de technique qui marche, sinon j’aurais prévenu Facebook en premier, mais une chose est sûr c’est qu’il y a forcément un moyen que quelqu’un quelque part au bout du monde, trouvera dans très bientôt.
Bon, pour essayer le truc, il suffit d’executer la méthode. Dans la barre d’adresse de votre navigateur écrivez :
javascript: buddyList.itemOnClick(0000000);
Y a plein d’autres méthodes sympas, pas forcément vulnérables tel que getAvailability qui retourne 0 ou 1 selon l’état de la personne (en ligne ou pas). en gros c’est l’API window-break-through, je vais appeler cela comme ça vu qu’on entre litéralement par la fenêtre . =)
Bon bah à très bientôt, on a du mal en ce moment à maintenir le blog, plein de taf et de lignes à coder surtout, que peu de temps pour chippoter sur facebook et découvrir d’éventuelles failles… mais n’empêche on sera toujours là pour vous =)
2010-4
3
Le PDF n’est pas si innofensif que l’on pensait
Didier Stevens a trouvé un moyen d’inclure un fichier exe dans un pdf qui se déclenchera à l’ouverture du fichier, en fait y’a un moyen normal et accessible à tout le monde d’ajouter des fichiers joints au PDF, mais pas des exécutables. Stevens dit n’avoir utilisé aucune vulnérabilité.
Il a pu inclure le programme de commande en ligne ‘cmd’, Adobe Reader affiche un message d’avertissement, mais avec un peu de social-engineering, il existe un moyen d’ajouter un message personnalisé pour tromper l’utilisateur et le pousser a ignorer l’avertissement et continuer l’opération. Foxit Reader parcontre ne se rend compte de rien et exécute le programme sans le moindre petit soupçon.
Le chercheur en sécurité n’a pas voulu partager son exploit publiquement, pas encore selon lui, il a d’ailleurs contacté Adobe pour qu’ils règlent le problème, mais la majorité des utilisateurs ne mettent pas leur programme à jour, et ça risque de faire des victimes. surtout si un virus ou un trojan exploite cette vulnérabilité et l’utilise pour se propager.
La démonstration dans la video ci-dessous :
2010-3
31
VirtualShackles : Bande dessinée geek
En cherchant un peu une image pour mon article précèdent, je suis tombé sur Virtual Shackles, un site fait par deux mecs, qui en fonction de l’actualité mais des fois non, sortent des petites bandes dessinées comme ça, de trois bulles, et de façon satirique expriment leur opinion, ils publient tous les mercredis et les week-ends, faites un tour chez eux ça vaut le coup.
Par exemple, la dernière publication c’est celle de George hotz et de son hack PS3 tout en prenant compte de la décision de Sony celle d’enlever le support de Linux.
Plein d’autres créations comiques sur le site, faites y un tour, vous allez adorer =)