Si intrufolano in Mac OS X e vincono 10.000 dollari

Un concorso organizzato a Vancouver ha fruttato ad una coppia di hacker un premio di 10 mila dollari e un portatile MacBook
di Andrea Bai pubblicata il 23 Aprile 2007, alle 12:13 nel canale AppleMac OS X
In occasione della CanSecWest Vancouver 2007, una conferenza annuale avente come tema centrale la sicurezza informatica, un gruppo di esperti informatici è stato in grado di sfruttare una falla di sicurezza di un sistema Mac per prenderne il controllo.
Si è trattato dell'esito di un contest proposto dagli organizzatori della conferenza, i quali inoltre hanno messo in palio un sistema Mac e ben 10 mila dollari. Shane Macaulay e Dino Dai Zovi si sono aggiudicati i premi, riuscendo a sfruttare una falla del browser web Safari per aprire una backdoor al fine di poter prendere il controllo del sistema.
Inizialmente il concorso sfidava i partecipanti ad intrufolarsi in uno dei due sistemi Mac messi a disposizione tramite un access point wireless, senza che sui due sistemi vi fosse alcun programma funzionante. Durante la prima giornata del concorso nessuno è riuscito a scavalcare le barriere di Mac OS X. Al termine della giornata gli organizzatori hanno quindi deciso di permettere l'accesso a siti web tramite URL inviati via mail.
E' stato da questo momento che Dai Zovi ha realizzato in circa nove ore di lavoro uno script ad-hoc che permettesse tramite una backdoor l'accesso alla shell del sistema. Dai Zovi, che risiede a New York, non avrebbe potuto partecipare al contest, dal momento che le regole prevedono la presenza fisica nel luogo del concorso. Egli si è quindi affidato all'amico Macaulay che ha semplicemente cliccato sul link inviatogli, il quale rimandava ad una pagina bianca contenente lo script.
La falla non è comunque stata resa di pubblico dominio. La divisione TippingPoint di 3Com, che ha messo in palio di 10 mila dollari, si occuperà di comunicare ad Apple quale sia la falla del browser.
Fonte: Macworld
90 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCerto che l'accesso al sistema da una pagina web mi pare una falla ben pericolosa, su quella pagina potrei finirci da un link su Google
Cmq positivo che non l'abbiano divulgata
lo script non è stato installato sul mac, ma vi è stato fatto accesso tramite web
Lo script deve installarsi sul Mac con il consenso dell'utente, quindi in realtà la sola falla può essere la furbizia di chi sta davanti allo schermo..
E tra l'altro questo ha consentito un accesso user-level, non di tipo root, che quindi serve a ben poco..
- deciso di brevettare lo script (non si sa mai
- in base al nome, è riuscito a trovarlo nella guida telefonica e ad arrivare a casa sua per poi gonfiarlo di botte perchè il sistema si considerava inviolabile
- deciso di assumere Dai come programmatore che sotto minaccia ha accettato
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".