OS X è più sicuro degli altri sistemi operativi: questa volta a dichiararlo non è Apple o gli utenti appassionati della Mela, ma due programmatori esperti di sicurezza informatica che hanno appena vinto sostanziosi premi in denaro per aver superato le difese dei software di Cupertino. Un team di hacker cinesi è riuscito a superare la sicurezza di Safari e prendere il controllo di OS X, aggiudicandosi due sostanziosi primi premi in denaro nella gara di hacking Pwn2Own. I due programmatori che hanno rappresentato il team cinese Keen Team ha però dichiarato che in quanto a sicurezza, OS X di Apple risulta migliore rispetto agli altri sistemi operativi.
La maratona Pwn2Own di due giorni dedicata alla sicurezza e all’hacking si è svolta a Vancouver in Canada e ha visto la partecipazione di diversi team di hacker ed esperti di sicurezza nel tentativo di superare le difese dei programmi di navigazione web e di alcuni tra i software più diffusi. Tutti i programmi presi di mira dagli attacchi sono caduti: oltre a Safari anche Google Chrome, Internet Explorer di Microsoft, Mozilla Firefox, Adobe Flash e Adobe Reader.
Fang Jiahong e Liang Chen del Keen Team sono due programmatori che hanno iniziato la loro carriere in Microsoft, subito dopo la laurea in sicurezza informatica conseguita a Shanghai. I due hanno spiegato che per “bucare” Safari e OS X hanno sfruttato due vulnerabilità. La prima è una falla in Safari Webkit, tecnologia ed engine alla base del browser di Apple, che ha permesso di eseguire codice arbitrario creato dagli hacker. Da qui è stato possibile proseguire con l’hack per prendere il controllo di OS X. La seconda vulnerabilità ha permesso di superare la sandbox, l’area di sicurezza in cui vengono eseguiti i software all’interno di OS X proprio per evitare attacchi: da qui i due programmatori sono riusciti a far eseguire il loro codice come fosse un software autorizzato dall’utente. Per questa dimostrazione riuscita su Safari e OS X, Keen Team si è aggiudicato un premio di 40mila dollari, più altri 75mila dollari per aver individuato una pericolosa falla in Flash: i due hanno dichiarato che parte della vincita sarà devoluta ai familiari delle vittime della recente tragedia del volo Malaysian Airlines.
I due programmatori hanno dichiarato a Cnet che la risoluzione della prima vulnerabilità di Safari sarà una operazione semplice per Apple, più complesso invece potrebbe essere il lavoro per gli ingegneri per risolvere la vulnerabilità sfruttata nella sandbox, dovuta a come è stata concepita l’app. Rappresentanti di Apple erano presenti al Pwn2Own: le due falle saranno probabilmente risolte in breve tempo da Cupertino.
Ancora più interessanti però risultano le dichiarazioni relative a OS X: “Il sistema operativo è considerato molto sicuro e ha una buona architettura di sicurezza” ha dichiarato Liang Chen, proseguendo ”Anche se si dispone di una vulnerabilità, è molto difficile da sfruttare. Oggi abbiamo dimostrato che con un po’ di tecnologia avanzata, il sistema è ancora in grado di essere pwned [colpito, ndr]. Ma in generale, la sicurezza in OS X è superiore ad altri sistemi operativi”.