Shane Macaulay, un ingegnere del software, è riuscito a penetrare in un MacBook attraverso uno zero-day security hole nel browser Safari, tutto questo durante il CanSecWest di Vancouver.
Come richiesto dagli organizzatori della competizione "PWN to Own", che mettevano in palio due modelli dello stesso computer che si doveva penetrare, bisognava riuscire a violare i sistemi di protezione di un MacBook connesso ad Internet tramite un router wireless, con tutti gli aggiornamenti di sicurezza installati, ma senza ulteriori programmi o impostazioni di protezione.
La riuscita dell'attacco di Macaulay è arrivata al secondo e ultimo giorno del contest (sito ufficiale qui), dopo che nel giorno precedente nessuno era riuscito ad aprirsi un varco in uno dei due Mac, cosa che aveva convinto gli organizzatori a facilitare le regole per i partecipanti.
La tecnica sfruttata per portare a compimento questo tipo di attacco è tipica dei sistemi operativi Microsoft. Macaulay, insieme ad un ricercatore della Matasano Security di nome Dai Zovi, ha trovato la vulnerabilità e descritto l'exploit di Safari in un tempo di circa 9 ore durante la notte tra venerdì e sabato.
La portavoce di Apple, Lynn Fox, ha declinato di commentare nello specifico l'hack riuscito sul MacBook, ma ha fornito la consueta dichiarazione dell'azienda in merito di sicurezza: "Apple prende i problemi di sicurezza molto seriamente ed ha sempre dimostrato la sua capacità di trovare potenziali vulnerabilità prima che queste possano colpire gli utenti".
Dai Zovi, che si è attribuito la paternità della scoperta del bug zero-day nel MacBook, concentrerà ora i suoi sforzi per vincere il premio di 10000$ messo in palio da TippingPoint per la scoperta di un nuovo bug Apple. "Shane si può tenere il laptop, io voglio il denaro", avrebbe dichiarato Zovi.
La scoperta del bug e il suo successivo sfruttamento per violare un sistema Mac giunge dopo il quarto aggiornamento di sicurezza per Mac OS X rilasciato quest'anno, che ha posto rimedio a 25 vulnerabilità nel sistema operativo Apple.