Pwn2own, giorno 2: tocca agli smartphone

Blackberry e iOS non vincono il braccio di ferro con gli hacker iscritti al contest. La spuntano Android e Windows Phone 7, snobbati dagli smanettoni
Blackberry e iOS non vincono il braccio di ferro con gli hacker iscritti al contest. La spuntano Android e Windows Phone 7, snobbati dagli smanettoni

Nel secondo round del Pwn2own 2011 , gli hacker hanno messo sotto torchio anche i sistemi operativi smartphone. Le difese di iOS e Blackberry sono state già espugnate, utilizzando i loro stessi browser mobile, ma non c’è stato un confronto diretto con altri dispositivi perché non si è presentato nessuno per attaccare il Samsung Nexus S (Android) e il Dell Venue (Windows Phone 7).

Lo smartphone RIM (un Torch serie 9800 con OS 6.0.0.246) ha ceduto all’attacco di un trio capitanato dall’italiano Vincenzo Iozzo . L’exploit, che sfrutta una precisa vulnerabilità nel motore di rendering WebKit , è stato inglobato all’interno della classica pagina web e ha permesso di giocare con i dati personali registrati nel dispositivo. L’impresa ha suscitato un certo clamore perché non esiste documentazione pubblica sul funzionamento interno del sistema operativo BlackBerry: Iozzo e soci sono quindi partiti da zero lavorando col debugger.

Per il terzo anno di fila il ricercatore Charlie Miller ha invece dimostrato la vulnerabilità di un prodotto Apple. Lavorando in coppia con il collega il Dion Blazakis, l’hacker è riuscito a raggiungere la rubrica interna passando da Safari, si è portato a casa il premio di 15.000 dollari e l’iPhone 4 “sconfitto”. La prova è stata eseguita utilizzando la versione 4.2.1 di iOS, quella iscritta al concorso, nonostante la disponibilità del nuovo aggiornamento 4.3.

Nel caso di iPhone l’esperto di sicurezza ha alzato le mani, ammettendo che l’exploit attuale non avrebbe funzionato sull’ultimissima versione della protezione (DEP-ASLR) inclusa nel nuovo firmware.

Il team Vupen che ieri ha superato le difese di Safari 5.0.3 ci tiene invece a puntualizzare l’opposto: è vero che la prova ufficiale è stata eseguita sulla penultima release del browser desktop, ma le vulnerabilità tappate recentemente da Cupertino nella versione 5.0.4 non risolvono tutti i problemi.

Roberto Pulito

Link copiato negli appunti

Ti potrebbe interessare

11 03 2011
Link copiato negli appunti