MacBook violato in un security contest in Canada

Home

Dom, 22 Apr 07
Giuseppe Palmiotto
Condividi
Tweet
PDF
Stampa
A- A A+

Shane Macaulay, un ingegnere del software, è riuscito a penetrare in un MacBook attraverso uno zero-day security hole nel browser Safari, tutto questo durante il CanSecWest di Vancouver.

{multithumb}Come richiesto dagli organizzatori della competizione "PWN to Own", che mettevano in palio due modelli dello stesso computer che si doveva penetrare, bisognava riuscire a violare i sistemi di protezione di un MacBook connesso ad Internet tramite un router wireless, con tutti gli aggiornamenti di sicurezza installati, ma senza ulteriori programmi o impostazioni di protezione.

La riuscita dell'attacco di Macaulay è arrivata al secondo e ultimo giorno del contest (sito ufficiale qui), dopo che nel giorno precedente nessuno era riuscito ad aprirsi un varco in uno dei due Mac, cosa che aveva convinto gli organizzatori a facilitare le regole per i partecipanti.

La tecnica sfruttata per portare a compimento questo tipo di attacco è tipica dei sistemi operativi Microsoft. Macaulay, insieme ad un ricercatore della Matasano Security di nome Dai Zovi, ha trovato la vulnerabilità e descritto l'exploit di Safari in un tempo di circa 9 ore durante la notte tra venerdì e sabato.

La portavoce di Apple, Lynn Fox, ha declinato di commentare nello specifico l'hack riuscito sul MacBook, ma ha fornito la consueta dichiarazione dell'azienda in merito di sicurezza: "Apple prende i problemi di sicurezza molto seriamente ed ha sempre dimostrato la sua capacità di trovare potenziali vulnerabilità prima che queste possano colpire gli utenti".

Dai Zovi, che si è attribuito la paternità della scoperta del bug zero-day nel MacBook, concentrerà ora i suoi sforzi per vincere il premio di 10000$ messo in palio da TippingPoint per la scoperta di un nuovo bug Apple. "Shane si può tenere il laptop, io voglio il denaro", avrebbe dichiarato Zovi.

La scoperta del bug e il suo successivo sfruttamento per violare un sistema Mac giunge dopo il quarto aggiornamento di sicurezza per Mac OS X rilasciato quest'anno, che ha posto rimedio a 25 vulnerabilità nel sistema operativo Apple.