Miller vince il Pwn2Own bucando l’iPhone, ma con iOS vecchio

11/03/2011 07:00 CET

di Fabio M. Zambelli

00000a_fotonews001La gara tra gatto e topo non si sa bene chi l’abbia vinta quest’anno. Gli esperti di sicurezza dimostrano la fallibilità di software superato, ma a che serve se quello nuovo non lo sconfiggono?
Devono essere strane le regole della competizione per hacker Pwn2Own se, per vincerla, non è necessario battere le ultime versioni dei software rilasciate appositamente dai produttori, ma basta sconfiggere quelle vecchie e superate.

Lo si deduce leggendo i reportage da Vancouver, dove si è tenuta la seconda giornata dell’annuale conferenza CanSecWest: Charlie Miller, per la quarta volta, si è accaparrato il premio di 15.000 dollari per essere riuscito (assieme al collega Dion Blazakis di Internet Security Evaluators) a dimostrare la vulnerabilità dell’iPhone.

L’esperto di sicurezza su Mac si è questa volta concentrato su Safari per iOS, ma con iOS 4.2.1 e non sull’ultimissimo iOS 4.3. Miller ha spiegato che “il nuovo ASLR di iOS 4.3 è molto più difficile da sconfiggere, l’aggiornamento non toglie la vulnerabilità MobileSafari ma la nostra soluzione non funziona” basata sulla tecnica ROP – Return Oriented Programming, che bypassa DEP.

Raccontavamo ieri di come il gruppo VUPEN aveva forato le reistenze di Safari su Mac, per completezza della cronaca la sicurezza dei BlackBerry è invece stata sconfitta dal trio Anon, costituito da Vincenzo Iozzo, Willem Pinckaers e Ralf Philipp Weinmann (2 su 3 già vincitori nel 2010), attraverso il browser basato su WebKit nel firmware 6.0.0.246 di un Torch 9800, aggiornato da RIM di recente.

A che serve se Apple, Google e tutte le altre aziende interessate hanno rinnovato i loro software all’ultimo minuto, prima del via al Pwn2Own 2011, appositamente per porre le sfide più difficili agli hacker, se questi poi dimostrano la fallibilità di sistemi ormai superati e si portano ugualmente a casa i premi? Ecco come minare la credibilità di queste dimostrazioni.



setteB.IT – la settimana digitale vista dall'utente mac