Pwn2Own 2010, basta Safari per violare un Mac

Il Pwn2Own 2010, l'evento a cui si danno appuntamento gli hacker per scardinare le difese dei sistemi operativi dei computer e degli smartphone, si terrà tra il 24 e il 26 marzo durante la CanSecWest Security Conference di Vancouver.

Aaron Portnoy, ricercatore di sicurezza di 3Com TippingPoint, pensa che il primo browser a cadere sarà Safari su Mac OS. "Safari sarà installato su Snow Leopard, che non è allo stesso livello di Windows 7".

Lo scorso anno Charlie Miller, vincitore delle ultime due edizioni, ha "bucato" Mac OS attraverso Safari in meno di cinque secondi. Uno studente tedesco, invece, è riuscito a penetrare le difese di Windows attraverso tre browser diversi.

"A differenza degli anni passati, devo dire che Safari non è molto più semplice da superare rispetto ai browser su Windows", ha dichiarato Miller. "Snow Leopard integra finalmente la DEP [Data Execution Prevention]. Inoltre, Dion Blazakis ha mostrato come superare la DEP nei browser per Windows. L'unica differenza è che Safari ha una maggiore superficie d'attacco e integra per esempio un lettore PDF (Preview) e Flash". L'anno scorso uscì indenne solo Google Chrome.

Secondo Portnoy il primo giorno di gara si chiuderà con un nulla di fatto, perché i browser funzioneranno su Windows 7, un sistema operativo relativamente nuovo. "DEP e ASLR (address space layout randomization) renderanno più complicato sfruttare le vulnerabilità presenti".

Al Pwn2Own di quest'anno, i computer non saranno il solo tema importante. Il contest riguarderà anche gli smartphone come iPhone 3GS, Blackberry Bold 9700, Nokia E62 su Symbian S60 e  Motorola Droid con Android. Secondo Portnoy il primo a cadere potrebbe essere l'iPhone a causa di Safari. Miller, invece, pensa che nessuno smartphone verrà violato.

Tra poco più di un mese, lo sapremo. Voi su chi scommettereste?