Si intrufolano in Mac OS X e vincono 10.000 dollari

In occasione della CanSecWest Vancouver 2007, una conferenza annuale avente come tema centrale la sicurezza informatica, un gruppo di esperti informatici è stato in grado di sfruttare una falla di sicurezza di un sistema Mac per prenderne il controllo.

Si è trattato dell'esito di un contest proposto dagli organizzatori della conferenza, i quali inoltre hanno messo in palio un sistema Mac e ben 10 mila dollari. Shane Macaulay e Dino Dai Zovi si sono aggiudicati i premi, riuscendo a sfruttare una falla del browser web Safari per aprire una backdoor al fine di poter prendere il controllo del sistema.

Inizialmente il concorso sfidava i partecipanti ad intrufolarsi in uno dei due sistemi Mac messi a disposizione tramite un access point wireless, senza che sui due sistemi vi fosse alcun programma funzionante. Durante la prima giornata del concorso nessuno è riuscito a scavalcare le barriere di Mac OS X. Al termine della giornata gli organizzatori hanno quindi deciso di permettere l'accesso a siti web tramite URL inviati via mail.

E' stato da questo momento che Dai Zovi ha realizzato in circa nove ore di lavoro uno script ad-hoc che permettesse tramite una backdoor l'accesso alla shell del sistema. Dai Zovi, che risiede a New York, non avrebbe potuto partecipare al contest, dal momento che le regole prevedono la presenza fisica nel luogo del concorso. Egli si è quindi affidato all'amico Macaulay che ha semplicemente cliccato sul link inviatogli, il quale rimandava ad una pagina bianca contenente lo script.

La falla non è comunque stata resa di pubblico dominio. La divisione TippingPoint di 3Com, che ha messo in palio di 10 mila dollari, si occuperà di comunicare ad Apple quale sia la falla del browser.

Fonte: Macworld