C’era già riuscito l’anno scorso, bucando un MacBook Air in meno di due minuti (e portandosi a casa ben 10.000$), ma questa volta Charlie Miller si è superato: in meno di 10 secondi, Miller è riuscito a bucare Safari al Pwn2Own, il contest dedicato alla sicurezza software e sponsorizzato da TippingPoint.
La falla di sicurezza su cui Miller stava già lavorando da tempo, gli ha permesso di violare Safari nel giro di pochi secondi, semplicemente cliccando un URL malevolo appositamente creato:
“It’s not easy, but this worked with one click” ha dichiarato Miller
La finalità dell’evento è, ovviamente, quello di rendere consapevoli i produttori software delle vulnerabilità che possono seriamente mettere a rischio la sicurezza dei propri prodotti e porvi rimedio, pertanto il tutto avviene in condizioni ideali per bucare i vari software, ma l’opera di Miller è assolutamente significativa; come accaduto lo scorso anno, per la vulnerabilità individuata da Miller nel MacBook Air, anche stavolta Apple si metterà al lavoro quanto prima per tappare la falla di Safari.
Le regole del contest, ovviamente, vietano a Miller di divulgare troppe informazioni relative alla sua scoperta: gli esponenti di Apple, presenti all’evento, però hanno già ricevuto tutte le informazioni necessarie in merito.
“They’re happy because they get free research and get a bug fixed”
(“Sono felici perché possono contare su una ricerca gratuita e indivudano i bug da risolvere”, ndA).
Successivamente, uno studente 25enne è riuscito a mandare K.O. anche i browser rivali: Internet Explorer e Firefox, portandosi a casa il Sony Vaio su cui ha operato. Miller, dal canto suo, si è accaparrato il MacBook utilizzato per violare Safari e un premio di 5.000$.
Gli altri premi in palio riguardano 5.000$ per ogni altra falla individuata nei principali browser e 10.000$, addirittura, per chi riesca a violare i sistemi operativi degli smartphone più noti (iPhone OS e Windows Mobile su tutti). A tal proposito, però, Miller ha dichiarato di non avere sufficienti competenze per tentare di hackerare anche gli OS dei device mobile; ora si accettano le scommesse: chi salterà per primo? Windows Mobile o iPhone OS?
[Via|Cnet]
Ben vengano questi contest… meglio che le grandi sw house tengano bene a mente che nulla che viene creato dal genio umano non può essere distrutto/violato da altrettanto genio…
la sicurezza non è mai = al 100%.
nonostante safari sia un browser ottimo e sicuro può essere bucato.
quello che è successo ne è la dimostrazione.
VI diro’… la cosa non mi disturba neppure un po’. Uso Firefox fin dalla 0.93b e continuo a chiedermi, davvero, che senso abbia usare altri browser.
Safari sara’ pure veloce ma, non avendo le estensioni, per il mio utilizzo diviene sostanzialmente inutile. Firefox ha fatto delle estensioni una norma, e mi pare allucinante che ancora oggi non si possano sviluppare (o quasi) piccoli plugin per Safari. Il solo fatto che Safari abbia un inspector HTML ridicolo (neppure la colorazione) e che su Firefox esistano la Web Developer Toolbar e Firebug, per me e’ gia’ piu’ che sufficiente.
E’ vero che Firefox si e’ sempre piu’ appesantito, ma tutti gli altri browser semplicemente non reggono il confronto.
E che Safari sia fallato non mi stupisce neppure un po’. E’ la sorte a cui TUTTI i browser proprietari sono destinati
Cristian,
Direi che la tua frase finale è da modificare in questo modo “E’ la sorte a cui TUTTI I BROWSER sono destinati.”
Concordo con Francesco, anche perché non solo Safari è basato su Webkit che è opensource, ma spesso le falle vengono proprio da plugin presenti in tutti i browser.