Due minuti. Ecco quanto ha resistito il MacBook Air messo da disposizione degli hacker alla CanSecWest per la sfida allestita dagli organizzatori dell’evento. Sessanta secondi sono bastati per scardinare la sicurezza del computer usando un sito Web fasullo dal quale è stato ‘iniettato’ (probabilmente usando Safari) una frazione di codice che ha consentito a Charlie Miller, il vincitore del concorso di hack,di prendere il controllo del sistema operativo.
La sconfitta di Mac Os X era una delle sfide lanciate dagli organizzatori che per allettare i professionisti del settore e suscitare interesse intorno alla tematica della sicurezza, avevano messo in palio un MacBook Air (quello dell’esperimento) e 10mila dollari in contanti. Una somma ingente e soprattutto un prodotto accattivante che ha concentrato l’attenzione sul sistema Mac piuttosto che sul resto del lotto. Pronti per essere battuti c’erano anche un Vaio con Ubuntu e un Fujitsu con Vista, ma è del tutto evidente che il Mac rappresentava il boccone più succulento e infatti Miller, primo in gara, si è concentrato subito sull’hardware di Apple.
L’hacker vincitore non è un volto sconosciuto. Miller aveva già anche craccato iPhone ed ha partecipato, da solo e in collaborazione con altri, ad altre gare del genere. Lo scorso anno il concorso di ConSecWest era stato vinto da Dino Dai Zovi, uno dei più noti esperti del settore della sicurezza. Dai Zovi aveva usato un bug presente in QuickTime.
A completezza di informazione va detto che l’attacco a Mac Os X è stato completato con successo solo al secondo tentativo, quando le regole sono state rese meno stringenti. Nessuno era infatti riuscito a scardinare Mac Os X (né gli altri due Os) fino a quando non è stato permesso di introdurre codice nel sistema operativo usando un browser.
Dopo l’assegnazione del premio Miller ha firmato un accordo di riservatezza che gli impone di non rivelare alcun dettaglio sul metodo usato per attaccare il sistema operativo, questo almeno fino a quando Apple e tutte le parti in causa non saranno state avvisate del percorso seguito.