Safari soccombe al Pwn2Own 2011

Nonostante le ultime patch per la sicurezza e il costante impegno di un’azienda come Apple per cercare di rendere il software nativo di Mac OS X più robusto, Safari non è riuscito a resistere all’attacco preparato per il Pwn2Own 2011. Un team di ricercatori dell’azienda francese VUPEN, infatti, è riuscito a sfruttare una falla presente nel browser realizzato dall’azienda di Cupertino per vincere l’edizione 2011 del contest.

L’attacco, messo a punto dagli esperti di VUPEN, consiste nell’indirizzare il browser ad un determinato sito Web e nell’ottenere, di conseguenza, il controllo della macchina sulla quale è in esecuzione Safari. Come sostiene Chaouki Bekrar (co-fondatore di VUPEN), il suo team ha messo a punto un exploit che approfitta di una falla “zero-day” presente nel browser e permette di eseguire l’applicazione Calcolatrice sulla macchina.

Niente impedirebbe, dunque, di eseguire un’applicazione malevola al posto dell’innocua Calcolatrice di Snow Leopard. La macchina compromessa eseguiva l’ultima versione disponibile di Mac OS X (con tutti gli aggiornamenti sulla sicurezza installati correttamente) a 64 bit.

Come confermato da Bekrar, la vulnerabilità è presente all’interno di WebKit, il framework open-source alla base di Safari. E’ stato necessario un team di tre ricercatori e un paio di settimane per scovare la vulnerabilità e implementare un exploit efficace. E’ stato quasi più difficile scrivere l’exploit che individuare la vulnerabilità a causa della mancanza di documentazione sulle tecniche di hacking per Mac OS X a 64 bit. “Abbiamo dovuto fare tutto da zero”, ha affermato Bekrar, “Abbiamo dovuto creare un tool di debugging, scrivere il codice e creare la tecnica ROP (Return Oriented Programming)”.

L’exploit è riuscito a bypassare l’ASLR (Address Space Layout Randomization) e la DEP (Data Execution Prevention), due meccanismi realizzati all’interno di Mac OS X per rendere più sicuro il sistema. Come premio, VUPEN ha vinto 15.000 dollari in contanti e un MacBook Air 13” con Snow Leopard.

[via]

19 commenti su “Safari soccombe al Pwn2Own 2011”

  1. “Nonostante le ultime patch per la sicurezza”. Beh, in verità no, perché i browser erano congelati da due settimane su quei portatili usati, quindi gli aggiornamenti all’ultimo momento non sono stati presi in considerazione per nessun browser.

    Rispondi
  2. @Matteo

    per google invece si,dato che ha adottato regole diverse essendo lo sponsor..

    cmq la falla trovata funziona anche sulla versione 5.0.4, essendo una zero day, apple non ne è a conoscenza ;)

    Rispondi
  3. Beh, chi ti dice che con l’ultima versione, la 5.0.4 , queste falle sono state risolte?
    Molto probabilmente sarebbe stato ininfluente… e sarebbero riusciti ad entrare lo stesso.

    Ormai è inutile rigettare la realtà, MAC OS X è un sistema bucabile cosi come tutti gli altri… Due settimana per creare un exploit sono veramente poche… e andando avanti sarà sempre peggio.

    Rispondi
  4. @Granuz

    semplice essendo una falla zero day, questa non è a conoscenza di apple, per cui è plausibile che funzioni anche con la versione 5.0.4, dato che non ha risolto molto bug fix, ma soprattutto la falla utilizzata è di webkit ;)

    Rispondi
  5. non so perchè mi spariscono i commenti…

    cmq per avvalorare il mio discorso, riporto quando affermato da miller

    “If you update your iPhone today, the [MobileSafari] vulnerability is still there, but the exploit won’t work. I’d have to bypass DEP and ASLR for this exploit to work,” Miller said.

    è plausibile che lo stesso valga per safari sul mac ;)

    Rispondi
  6. Safari è un bel colabrodo.. ma questo si sapeva da tempo.

    E’ la poca diffusione che lo salva al momento.

    Speriamo che Finalmente la si pianti con questa storia di Osx e Safari Supermegasicuri.

    E si inizi ad aprire una seria branchia che curi la sicurezza in campo Osx.

    Rispondi
  7. Secondo me la gente non ha ancora capito che di sicuro al 100% non c’è nulla…. Non è questione di Mac, Windows o Linux. Diciamo che la differenza tra tutti è “chi ha meno falle” ma comunque nessuno è immune al 100%

    Mesi fa ad una conferenza sulla sicurezza hanno fatto vedere, ad esempio, come in realtà Linux sia un sistema più vulnerabile di quello che si pensi, soprattutto per quanto riguarda il numero di virus, trojan etc… in circolazione. Questo però nessuno lo dice anzi, si continua a sostenere che sia più sicuro di Windows! In sala siamo rimasti tutti stupiti ma i dati parlavano da soli ;-)

    Rispondi
  8. @ Ciccio:
    l’exploit ha portato 2 settimane di lavoro, i 5 secondi sono il tempo di run time per l’exploit, è un dato poco significativo quindi.

    Ma 2 settimane sono davvero poche!

    Rispondi
  9. Ed il fatto di aver bucato Safari implica che anche Mac OS X sia vulnerabile? Il fatto che siano riusciti a far eseguire la calcolatrice non significa nulla. E’ un’applicazione integrata nel sistema che non richiede l’intervento di root per essere lanciata. Se avessero voluto lanciare un’applicazione contenente codice pericoloso e che per far danno deve andare a scrivere nelle locazioni di sistema, come avrebbero fatto? Avrebbero bypassato root da Safari? Non credo proprio… infatti non l’hanno fatto. Non esiste un sistema operativo privo di bugs, ma Mac OS X è attualmente il più sicuro senza alcun dubbio.

    Rispondi
  10. Mac OS X è attualmente il più sicuro senza alcun dubbio.

    @ iPeppe:
    Questa tua affermazione denota la tua assoluta impreparazione in fatto di IT Security. Mi spiace ma si dovrebbe parlare con cognizione di causa, e tu non lo stai facendo.

    Direi che per quanto mi riguarda la discussione finisce qui. E’ inutile parlare quando ci si trova davanti ad affermazioni del genere, sono solo parole vane.

    Spero vivamente che tu non sia nel Settore IT come ambito lavorativo.

    Rispondi
  11. Lanciare la calcolatrice o un rm -rf $pwd/* è la stessa cosa.

    Se pensi che questo sia innoquo fallo…. ma non mi prendo responsabilità.

    Rispondi
  12. Safari non mi è mai piaciuto, troppo lento e pesante a mio avviso.
    Infatti sul Mac non l’avro aperto che 3 volte, probabilmente per sbaglio.
    Preferisco di gran lunga Chrome o in alternativa Firefox.

    È già molto che siano riusciti a fare avviare un’applicazione che non richiede determinati privilegi, ma al momento più che danneggiare un utente cancellando i dati cosa potrebbero fare?
    Non credo che col WebKit possano sorpassare addirittura i diritti di root, in modo da causare danni potenzialmente molto dannosi alla macchina.

    Rispondi
  13. Giusto per la cronaca è sufficiente fare delle ricerche su google e si trovano diversi articoli riguardo la sicurezza dei sistemi operativi che, logicamente, dipendono da vari fattori:

    1. http://www.secpoint.com/Top-10-Most-Secure-Operating-Systems.html

    2. http://www.techrepublic.com/blog/security/is-linux-the-most-secure-os/471

    Un browser è una porta di accesso al sistema operativo che se presenta “buchi” allora sono guai…. E’ logico che di base il browser dovrebbe essere privo di bachi ma è anche vero, ripeto, che il problema è il sistema operativo!
    Il browser è solo il mezzo per arrivare al “cuore” del sistema! In primis è questo che dovrebbe essere “blindato” :-)

    Comunque per evitare polemiche vedendo la risposta sopra di Mad a iPeppe, non bisogna per forza essere degli esperti nel campo sicurezza informatica per poter lavorare nel settore IT che, come sappiamo, vanta un numero di figure professionali molto vasto. Ciò non toglie che giustamente, come dice Mad, prima di “sparare” certe affermazioni direi molto “commerciali” e “di massa”, bisognerebbe usare un pò il buon senso e un minimo di conoscenza.
    Come quelli che dicono “no, se hai un Mac non ti serve a niente l’antivirus”.
    Peccato che giusto qualche giorno fa, Sophos ha individuato un Trojan scritto proprio per Mac OsX :-)

    Bye, Max

    Rispondi
  14. @ Mad:
    Dimmi, tu con quali requisiti parli? Quali sono le tue conoscenze? Dalla banalità della tua risposta si evince la tua totale immaturità e la tua totale incomptenza in materia. Del resto non ho nulla da dimostrarti, ma ti presenterei alla commissione di laurea che mi ha reso dottore con 110 e lode in informatica con specializzazione in Sicurezza delle Reti (guarda caso!) e tutte le reti da me progettate funzionano benissimo e tutti i clienti sono soddisfatti. Addio stupido troll!

    Rispondi
  15. iPeppe dice:

    Ed il fatto di aver bucato Safari implica che anche Mac OS X sia vulnerabile? Il fatto che siano riusciti a far eseguire la calcolatrice non significa nulla. E’ un’applicazione integrata nel sistema che non richiede l’intervento di root per essere lanciata.

    Innanzi tutto gli sviluppatori dell’exploit hanno detto che con quel buco potevano eseguire qualsiasi tipo di codice. La calcolatrice era un banale esempio (faceva parte delle regole del contest)
    Inoltre per fare danni mica serve essere root!
    Dove si trovano tutte le tue informazioni? Mail, Documenti e le cose che più possono interessare ad un malintenzionato sono salvate nell’area utente, senza contare che molte applicazioni possono essere eseguite a livello utente senza installarle.
    Non serve essere root per attivare un keylogger e registrare le password che digiti visitando un sito web (per esempio della tua banca)… tutte le operazioni vitali vengono eseguite a livello utente.
    Ad un cracker mica interessa cancellarti un file di sistema… a lui interessa avere dati importanti per avere denaro… per questo essere root non serve a un belino.

    Se avessero voluto lanciare un’applicazione contenente codice pericoloso e che per far danno deve andare a scrivere nelle locazioni di sistema, come avrebbero fatto? Avrebbero bypassato root da Safari? Non credo proprio… infatti non l’hanno fatto. Non esiste un sistema operativo privo di bugs, ma Mac OS X è attualmente il più sicuro senza alcun dubbio.

    Hanno detto chiaramente che con l’exploit avevano il controllo COMPLETO del SO, questo vuol dire che anche il SO è vulnerabile.
    un SO non vulnerabile (a parte che non esiste) avrebbe dovuto schermare il transito da WebKit ai files di basso livello, ma questo non è accaduto.
    Quindi si, WebKit era fallato, ma anche il SO non è da meno a quanto pare…

    Rispondi
  16. @ Granuz:
    Verissimo tutto ciò che dici, ma nel caso specifico sarebbe “bello” avere le prove di quello che sostengono. L’esperienza mi insegna che quando viene racconta una scoperta del genere, il più delle volte il problema è stato già tappato. Non sono un Apple fan, anche perché mi sono avvicinato a questi prodotti da poco, ma su Windows ne ho viste di tutti i colori ed infatti ciò è quello che le persone lamentano e che le notizie raccontano. La percentuale di casi di phishing dovuta ad un falla dell’OS è prossima allo zero su Mac OS o GNU/Linux. Se poi questa avviene per colpa dell’utonto è un altro discorso.

    Rispondi
  17. @ iPeppe:
    Visti i commenti tutti a tuo svafore ragiona su chi dei due ha detto la c*****a…
    Comunque, io che della mia laurea informatica e della mia specialistica in tecnologia dell’informazione sono sicuro.
    Parlo da Responsabile IT di una della maggiori Para-Bancarie che sia presente in Italia.
    E’ Inutile che fai l’impettito, dici di essere un esperto in sicurezza delle reti e di esserti appena avvicinato al mondo Osx, che Dovresti invece conoscere a menadito a livello di protocolli visto che come dici hai una specializzazione in Sicurezza delle Reti.
    Magari sono stato un po’ troppo Diretto, ma dire che Osx senza alcun Dubbio è il sistema più sicuro in circolazione è come dire che theapplelounge è un sito da winari, giusto per fare un esempio simpatico della castroneria che hai detto.
    Un esperto di Sicurezza, inorridisce se si riesce a mandare in esecuzione del codice da remoto su una macchina, è il suo peggior incubo, mentre tu pensi che abbiano mandato in esecuzione una calcolatrice perchè non riuscivano a far altro?????? :)
    Detto questo, io non ho problemi a darti dimostrazione della mia posizione IT anche incontrandoci, dimostrandoti con i fatti che di sicuro Io parlo con cognizione di causa.

    Rispondi

Lascia un commento