Apple Safari este cea mai tentanta tinta in concursul de hacking PWN2OWN, a prezis castigatorul de anul trecut al concursului.
“Este o tinta usoara”, a spus Charlie Miller, cercetator in vulnerabilitati care anul trecut a castigat premiul de 10.000$ pentru ca a reusit sa intre intr-un laptop Apple in doar cateva minute. Concursul PWN2OWN este la cea de a treia editie si se va desfasura in cadrul conferintei de securitate CanSecWest la sfarsitul acestei luni in Vancouver, British Columbia.
Sponsorul PWN2WN, unitatea TippingPoint a 3Com, va plati cate 5.000 $ pentru fiecare nou bug exploatat cu succes in browserele Apple Safari, Microsoft Internet Explorer, Firefox sau Google Chrome.
IE8, Firefox si Chrome vor rula pe un notebook Sony cu sistemul de operare Windows 7, in timp de Safari si Firefox vor fi disponibile pe un MacBook.
“Produsele Apple sunt cu adevarat prietenoase pentru utilizatori, iar Safari este gandit sa gestioneze orice, inclusiv toate tipurile de formate de fisier”, a spus Miller. “Cu o multime de functionalitati, creste si posbilitatea de bug-uri. Cu cat este mai complex software-ul, cu atat este mai putin sigur”.
Un alt factor care face Safari mai usor de prins, a spus Miller, este sistemul de operare Apple Mac OS X, nu are mecanismele de aparare prezente in Windows Vista si Windows 7, cum ar fi si “address space layout randomization” sau ASLR.
Adauga Safari la Mac OS X si tinta este mult prea tentanta pentru a o rata, a spus Miller.
IE 8 si Firefox vor scapa, previzioneaza Miller, adaugand ca o analiza cost-beneficiu arata ca acestea vor fi in sigurata. “Sunt destul de greu de spart, incat 5.000$ nu reprezinta o motivatie destul de puternica pentru ca cineva sa incerce sa sparga vreunul din aceste browsere”, a spus el. Cat despre Chrome, Miller nu a putut face nicio predictie pentru ca nu stie destul de multe despre browserul Google, insa presupune ca va supravietui.
Miller a fost primul cercetator care a descoperit un bug de securitate in sistemul de operare Google Android, care de altfel va fi o tema a concursului. Astfel vor fi puse la bataie cinci sisteme de operare pentru smartphone-uri, precum Windows Mobile, Android, Symbian si sistemele de operare utilizate de iPhone si BlackBerry. TippingPoint va plati dublu, adica 10.000$ pentru fiecare bug exploatat in cadrul concursului.
Miller va incerca sa sparga Safari, dar isi va incerca norocul si pe sistemele de operare mobile. Acesta a refuzat sa spuna care smartphone il va tinti, insa el a fost unul din cei trei cercetatori care au descoperit prima vulnerabilitate in iPhone, la doar cateva saptamani de la lansarea dispozitivului.
Miller lucreaza ca analist principal la Independent Security Evaluators LLC, o firma de consultanta in securitate.