Ebbene sì, durante il 2° giorno del tanto atteso Pwn2Own, i primi a cedere sono stati iPhone e Blackberry. Certo bisogna puntualizzare che Android e WP7 in realtà non hanno resistito alle lusinghe dei loro hacker, visto che questi non si sono affatto presentati. Infatti George Hotz (meglio conosciuto come Geohot), che doveva provare a bucare WP7 su un Dell Venue Pro, non si è presentato per via della battaglia legale ingaggiata da Sony per il jailbreak della PS3. L’altro hacker, Jon Oberheide co-founder di Duo Security, avrebbe dovuto sfruttare una vulnerabilità scovata all’interno del browser di Android. Purtroppo per lui Google ha creato una patch di sicurezza, che ha rilasciato proprio prima del contest, per risolvere il problema che lo stesso hacker aveva precedentemente comunicato all’azienda di Mountain View.
Blackberry, molto usato dai dirigenti per le sue potenzialità in ambito aziendale e per la sicurezza, non ha potuto niente contro l’attacco lanciato da un trio di hacker capitanato dall’italiano Vincenzo Iozzo, che hanno sfruttato una vulnerabilità del motore Webkit scovato da loro utilizzando solo il debugger messo a disposizione agli sviluppatori di pagine web mobile. Una volta confezionata una pagina web con il codice malevolo, è stato semplice accedere alla rubrica del dispositivo e alle immagini in esso contenute, riuscendo addirittura a scrivere una riga di codice sul terminale dello smartphone. RIM esce decisamente sconfitta dimostrando le scarse misure di sicurezza adottate sui suoi device e promettendo di focalizzare l’attenzione sullo sviluppo e l’integrazione di tecnologie di protezione ASLR e DEP.
Tutt’altra storia invece per l’iPhone che, equipaggiato con il firmware 4.2.1, si è lasciato domare dal famoso Charlie Miller, noto per aver già superato le difese di dispositivi Apple agli scorsi Pwn2Own. L’hacker dopo aver portato a termine con successo l’attacco, che ha permesso solo di accedere alla rubrica dell’iDevice, ha dichiarato che questa non funziona nel firmware 4.3, rilasciato alcuni giorni fa (IOS4.3 rilasciato in anticipo), per via dell’introduzione di ASLR. Apple, ricevute le specifiche sull’exploit, è a lavoro su IOS4.3.1 che correggerà definitivamente la falla.
Charlie Miller che ha bucato per tre anni di fila i dispositivi di Apple.
Finito il contest sono stati premiati Charlie Miller, che si è portato a casa l’iPhone bucato, e VUPEN (il team che ieri ha bucato il Macbook Pro), che si è portato a casa un Macbook Air. Entrambi i vincitori hanno ricevuto pure 15€.
Che dire, considerando Safari ieri e i browser di Blackberry e iPhone oggi, tutti basati su webkit, quello che ne esce maggiormente sconfitto da questo contest è proprio il motore di rendering.
The following article, “iPhone e Blackberry sono posseduti!
HaTech” demonstrates the fact that u truly know what you are talking
about! I personally absolutely approve. Thanks a lot -Marlon