Dans une présentation qui sera faite à la Black Hat en juillet, le chercheur en sécurité Jeff Forristal de BlueBox Labs, expliquera en détail l'exploitation du bug de sécu Android n°8219321. Officialisée en février de cette année par Google, cette faille permet à un attaquant de modifier le code d'un APK sans casser la signature numérique de celui-ci.

Concrètement, cela signifie qu'il est parfaitement possible de cacher dans une application légitime et reconnue comme telle par Android, un malware qui aurait alors accès au système du téléphone. Je vous laisse imaginer les dégâts et les fuites d'info que cela peut permettre.

Cette vulnérabilité est effective depuis la version 1.6 d'Android alias Donut. Cumulés depuis 4 ans, ce sont donc plus de 900 millions de téléphones qui sont touchés, soit 99% du parc Android. On en saura plus dans quelques semaines lors de sa conf baptisée "Android: one root to own them all" et sur le site de BlueBox Labs.

Espérons que les constructeurs et Google patchent rapidement cette faille.

Développé par DoubleTwist, MagicPlay est un standard ouvert destiné à concurrencer directement le protocole AirPlay d'Apple.

Diffuser de la musique via HTTP sur des enceintes ou des téléviseurs compatibles sera bientôt possible puisque les sources de MagicPlay sont libres et disponibles sur Github. A l'origine de cette idée, le fondateur de DoubleTwist, Jon Lech Johansen, alias DVD Jon, célèbre pour avoir cassé les DRM des DVDs avec son soft DeCSS.

L'un des premiers logiciels à supporter MagicPlay est bien évidemment le player Android de DoubleTwist, mais si vous souhaitez mettre un peu les mains dans le cambouis, Jon Lech a mis en ligne un tuto qui explique comment transformer un Raspberry Pi en player compatible MagicPlay.

De quoi vous amuser un peu

Oubliez les imprimantes 3D à base de fils de PVC, l'avenir est aux imprimantes à base de LEGO !

On le sait tous, imaginer et construire en LEGO un objet (ou une oeuvre d'art) demande beaucoup d'essais avant d'obtenir quelque chose qui tienne la route. Mais cette époque est révolue puisque Romain Testuz, un ingénieur suisse a mis au point un algorithme capable de concevoir des sculptures en LEGO qui soient fidèle au modèle initial.

Son algorithme qui utilise la théorie des graphes est capable de déterminer la quantité exacte de briques ainsi que la stabilité et la robustesse de la construction.

Y'a plus qu'à coller cet algo dans une imprimante 3D à base de LEGO et on pourra enfin rigoler (mais moins que lorsqu'on le fait à la main ^^)

Brendan Gregg (Sun) a mis en ligne une vidéo il y a quelques années, dans laquelle on le voit mesurer les performances d'une baie de disques dur. Et à chaque fois que le monsieur pousse un cri sauvage, les performances de ces mêmes disques durs sont affectées.

Il faut savoir que le bruit se propage dans l'air à travers une onde sonore qui peut alors faire vibrer les plateaux d'un disque dur.

Alors quand c'est Brendan qui hurle, ça passe encore. Mais quand c'est une alarme incendie de 130 dB qui se déclenche, ça peut faire pas mal de dégâts. C'est que relate le blog de Cedexis :

Il y a quelques semaines dans un data center français, un technicien de maintenance a déclenché involontairement le système d’extinction incendie dans une salle. Un client du data center présent dans cette salle disposait de nombreux équipements (baies de stockage) de dernière génération fournie par un unique constructeur avec des disques durs visiblement trop fins et trop fragiles.

En effet, le bruit généré par le système d’extinction d’incendie a rendu hors service tous les disques de toutes les baies… et les données stockées sur ces disques irrécupérables.

Ça fait mal ! On a beau être en RAID, si tous les disques morflent en même temps, ça ne va pas servir à grand-chose.

Bref, la prochaine fois que vous organiserez une Rave Party dans votre appart, pensez à déconnecter vos disques durs

Geohot s'ennuyait un peu, alors en rentrant de la plage, il est passé dans une boutique AT&T et s'est offert un Samsung Galaxy S4 Active.

Seul hic, l'appareil n'est pas rooté... Alors il a confectionné un petit APK qu'il suffit de télécharger à partir de son site et qui roote en 1 click le téléphone, profitant de la même occasion pour se moquer des méthodes de rooting actuelles "passives", c'est à dire qui nécessite un ordinateur pour être appliquées. (avec un petit jeu de mots au passage... Galaxy S4 Active -> Passive)

Dans le cas du Galaxy S4 Active, il a utilisé une faille découverte par un autre hacker, ce qui permet à son programme baptisé ActiveRoot de s'installer sans avoir besoin d'un ordi avec Odin...etc.

Bien joué Geohot !