iPhone, Safari, Internet Explorer 8 e Firefox, tutti sopraffatti nel primo giorno del Pwn2Own, la consueta gara tra hacker che si è svolta durante la conferenza sulla sicurezza CanSecWest.
Charlie Miller, vincitore delle passate edizioni e famoso per aver parlato di 20 falle di tipo zero day in Mac OS (Mac OS X colabrodo, ha 20 falle zero day), si è portato a casa 10 mila dollari dopo aver "bucato" Safari su un MacBook Pro. L'attacco è stato commesso in remoto, senza avere accesso fisico al sistema.
Peter Vreugdenhil, olandese, ha vinto anch'esso 10 mila dollari per aver oltrepassato le difese di Internet Explorer 8 su un Windows 7 64 bit aggiornato con le ultime patch di sicurezza. La stessa cifra è andata a Nils (con molta umiltà ha deciso di non divulgare il proprio nome e cognome), ricercatore dell'azienda inglese MWR InfoSecurity, che ha sconfitto Firefox.
Infine, Ralf Philipp Weinmann dell'Università del Lussemburgo e Vincenzo Iozzo dell'azienda tedesca Zynamics (è italiano!) hanno "bucato" un iPhone non "jailbreakkato" (craccato per installare applicazioni al di fuori dell'App Store). I due si sono divisi un premio di 15 mila dollari.
Charlie Miller, poco loquace dopo il contest, ha dichiarato che il MacBook Pro è stato compromesso visitando un sito web con codice maligno. Vreugdenhil ha invece sfruttato due vulnerabilità in IE8 con "un attacco a quattro parti che ha richiesto di bypassare la tecnologia ASLR (Address Space Layout Randomization) ed evitare la DEP (Data Execution Prevention). Aggirate le due tecnologie di sicurezza, è bastato visitare una pagina con un codice maligno per portare a termine l'attacco". Il ricercatore ha condiviso su un documento PDF la tecnica usata per aggirare IE8.
Nils ha sfruttato una vulnerabilità corruption memory e ha anch'esso aggirato ASLR e DEP per via della "debole" implementazione nel browser Mozilla.
Hacker al lavoro su iPhone. Foto: Zdnet
Microsoft ha dichiarato che indagherà sulle vulnerabilità di ASLR e DEP, sottolineando che al momento non sono a conoscenza di attacchi pubblici su larga scala.
Tra i browser per computer presenti al concorso, solo Google Chrome è rimasto "in piedi" il primo giorno.
L'attacco ad iPhone (3GS, 3.1.3), infine, è stato realizzato grazie a un exploit scritto in due settimane e progettato per rubare il contenuto del database SMS (potenzialmente si possono fare anche altre cose all'insaputa dell'utente). L'exploit è stato portato visitando un sito web con codice maligno. Il tutto è durato meno di 10 minuti. A detta dei due hacker il problema maggiore è stato quello di superare la firma digitale del codice.
Fortunatamente Apple, Microsoft e Mozilla sono state messe al corrente delle vulnerabilità e potranno lavorare a dei correttivi. Aspettiamoci diversi aggiornamenti nelle prossime settimane.