Un gruppo francese è riuscito ad attaccare Safari nel corso della competizione Pwn2Own, l’annuale gara per hacker che si svolge il 9, il 10 e l’11 marzo nel corso della conferenza CanSenWest. Nella competizione i partecipanti sono invitati prendere controllo di Mac e PC sfruttando falle dei browser per Internet. I computer a disposizione degli hacker quest’anno sono macchine con Mac OS X e Windows 7. I partecipanti hanno trenta minuti di tempo per trovare falle in Explorer (ovviamente solo su Windows), Safari, Firefox e Chrome, tutti installati in sistemi operativi aggiornati e nelle ultime versioni disponibili al momento.
La squadra francese di Vupen Security ha sfruttato una falla del WebKit costruendo la prova concettuale di un sito grazie al quale è stato possibile avviare un’applicazione sul Mac (Calcolatrice) e scrivere un file sul disco rigido.
Intervistato da ZDnet, Chaouki Bekrar (co-donatore di VUPEN), ha fatto sapere che la vulnerabilità è parte del WebKit, il rendering engine open source per browser (usato non solo da Safari, ma anche da Chrome). Il team ha lavorato due settimane per individuare la vulnerabilità e trovare il metodo per attaccare il sistema. “E’ stato difficile. Abbiamo dovuto creare dei tool di debugging, realizzare lo shellcode e sfruttare tecniche di ROP (return oriented programming)”.
Grazie all’impresa la Vupen Security ha intascato il premio da 15.000$ e ottenuto il MacBook Air da 13” in palio. Anche Internet Explorer 8 su Windows 7 non ha resistito e un altro team ha individuato tre falle (in questo caso è stato necessario un lavoro preparatorio di un mese).
[A cura di Mauro Notarianni]
