Computerworld afferma che “Safari di Apple è la preda più ambita nell’edizione 2009 di Pwn2own“, una competizione tra hacker per scoprire falle di sicurezza su varie piattaforme. “E’ un target semplice” afferma Charlie Miller, scopritore di vulnerabilità che lo scorso anno si aggiudicò il premio da 10.000$ per avere scoperto alcune falle Mac OS X.
Nell’edizione di quest’anno che * ricordiamo – si svolgerà a Vancouver (Canada) dal 16 al 20 marzo, ai partecipanti sarà data l’opportunità di competere con i pesi-massimi del mondo dei cellulari: iPhone, BlackBerry e vari modelli con Android, Symbian e Windows Mobile.
I concorrenti potranno fare affidamento solo sull’accesso remoto e saranno di conseguenza obbligati a usare tecniche di controllo che sfruttano vulnerabilità dei browser presenti di serie nei dispositivi, oppure e-mail con contenuti dannosi o, ancora, messaggi SMS con testi malformati.
TippingPoint – una divisione di 3Com che si occupa di sicurezza- farà da sponsor e offrirà 5000$ per ogni bug scoperto dopo il primo target. Gli obiettivi sono come sempre le vulnerabilità dei browser: Safari, Explorer 8, FireFox, Chrome. FireFox e Chrome gireranno su un notebook di Sony sul quale è presente la beta di Windows 7.
“I prodotti di Apple sono amichevoli per l’utente e Safari è progettato per gestire vari formati” afferma Miller, “più funzionalità significa maggiori probabilità di bug. Più il software è complesso, meno è sicuro”.
Un altro fattore che renderebbe Safari poco sicuro a detta di Miller è la mancanza di alcune particolari funzionalità di sicurezza presenti in Vista e Windows 7, tra le quali la randomizzazione dello spazio indirizzi (la scrittura casuale in memoria di alcune variabili occuperebbe sempre lo stesso posto).
“Explorer 8 e FireFox rimarranno incolumi” prevede Miller e “5000$ per me non sono una cifra sufficiente per provare a rompere anche uno di questi giocattoli”.
Per quanto riguarda Chrome, Miller afferma di non saperne molto e non si lancia in previsioni. Il suo istinto, però, gli dice che il browser di Google “sopravviverà ” alla competizione.
Miller sta preparando qualche “sorpresa” relativamente anche alle vulnerabilità dei dispositivi mobili (è stato il primo a scoprire un bug di sicurezza in Android); non ha ancora detto qual è il target tra gli smartphone ma è ovvio che la “preda” più ambita è l’iPhone.
[A cura di Mauro Notarianni]
