I Mac più vecchi di un anno sono a rischio. Un nuovo exploit è stato scoperto nel firmware dei vecchi computer di Apple che permette ad un malintenzionato (con delle conoscenze informatiche) di prendere il controllo di una macchina negli istanti dell’accensione, di fatto controllando i primi comandi eseguiti dal computer al suo avvio.
Un nuovo bug appena scoperto su iOS 6.1 permette di accedere ai contatti, alle telefonate e a numerose altre informazioni personali bypassando il blocco di sicurezza della schermata di blocco del telefono.
Lo ha documentato The Verge con un video che mostra la facilità con cui è possibile effettuare l’exploit. Il filmato originale che mostra il “trucchetto” in realtà è comparso su YouTube alla fine di gennaio, e indica che il bug affligge anche le versioni 6.0.1 e 6.0.2 di iOS.
Con il successo di Lion, scaricato un milione di volte in appena 24 ore dal lancio sul Mac App Store, Apple si appresta a definire un nuovo punto di riferimento per la sicurezza dei sistemi operativi. E’ quello che sostengono due importanti ricercatori nel settore dell’information security, Charlie Miller e Dino Dai Zovi.
Lion, infatti, rappresenta un grande passo avanti rispetto a Snow Leopard dal punto di vista della protezione nei confronti di exploit e malware realizzati ad-hoc per mettere in pericolo la sicurezza e la riservatezza delle informazioni contenute all’interno dei nostri Mac. La novità principale riguarda senza dubbio il rinnovato ASLR, acronimo di Address Space Layout Randomization, il sistema di protezione che permette di cambiare periodicamente (e in maniera pseudo-casuale) gli indirizzi di memoria in cui sono allocati il codice e i componenti principali del sistema operativo in esecuzione.
Nonostante le ultime patch per la sicurezza e il costante impegno di un’azienda come Apple per cercare di rendere il software nativo di Mac OS X più robusto, Safari non è riuscito a resistere all’attacco preparato per il Pwn2Own 2011. Un team di ricercatori dell’azienda francese VUPEN, infatti, è riuscito a sfruttare una falla presente nel browser realizzato dall’azienda di Cupertino per vincere l’edizione 2011 del contest.
L’attacco, messo a punto dagli esperti di VUPEN, consiste nell’indirizzare il browser ad un determinato sito Web e nell’ottenere, di conseguenza, il controllo della macchina sulla quale è in esecuzione Safari. Come sostiene Chaouki Bekrar (co-fondatore di VUPEN), il suo team ha messo a punto un exploit che approfitta di una falla “zero-day” presente nel browser e permette di eseguire l’applicazione Calcolatrice sulla macchina.
