Altervedo’s Weblog

Web and tech

MacBook Air…2 hard 2 hack…για 2 λεπτά

28 Μαρτίου, 2008 στο 2:43 μμ · Κατηγορία Apple, Ασφάλεια, Notebooks and tagged: , , , , , ,

Ας μην τα βάλουμε με το MacBook Air, για όλα φταίει ο Safari, ωστόσο πλέον κυκλοφόρησε. Χρειάζονται δύο λεπτά για να hackάρετε ένα MacBook Air. Όλα συνέβησαν στο CanSecWest Vancouver 2008, συνέδριο που ασχολείται με θέματα ψηφιακής ασφάλειας. Οι διοργανωτές αποφάσισαν και φέτος να στήσουν έναν διαγωνισμό PWN to 0WN. Ποιός θα χάκαρε ένα από τα τρία ακόλουθα notebooks:

  • VAIO VGN-TZ37CN με εγκατεστημένη Ubuntu 7.10
  • Fujitsu U810 με Vista Ultimate SP1
  • MacBook Air με OS X 10.5.2

Και τα τρία notebooks είχαν τα πιο πρόσφατα updates και το configuration τους χαρακτηρίστηκε ως standard.

Ο νικητής παίρνει δικό του το notebook αν καταφέρει να το χακάρει εκμεταλλευόμενος μια άγνωστη ως τώρα αδυναμία (0day attack) και ένα χρηματικό βραβείο 10.000 δολλαρίων. Έτσι, χθες, ο Charlie Miller έκανε δικό του ένα MacBook Air και 10.000 δολλάρια μέσα σε δύο λεπτά, χρησιμοποιώντας μια αδυναμία του browser Safari για να αποκτήσει τον έλεγχο του notebook. Ο Miller έγινε γνωστός και ως ο πρώτος που κατάφερε να χακάρει το iPhone.

O Miller ήταν ο πρώτος που προσπάθησε πάνω στο MacBook Air…δε χρειάστηκε δεύτερος.

Για να μην υπερβάλουμε, όμως, η αλήθεια είναι ότι την πρώτη μέρα του διαγωνισμού κανείς δεν κατάφερε να χακάρει τα notebooks λόγω των περιορισμένων μεθόδων πρόσβασης σε αυτά που επέτρεψαν οι διοργανωτές στους διαγωνιζόμενους. Πράγματι την πρώτη μέρα που οι επιθέσεις μπορούσαν να γίνουν μόνο μέσω δικτύου, κανείς δεν κατάφερε να αποκτήσει τον έλεγχο των notebooks. Τη δεύτερη μέρα του διαγωνισμού οι κανόνες άλλαξαν και πλέον επιτράπηκε στους hackers να ζητήσουν από τους διοργανωτές να κάνουν συγκεκριμένες πράξεις, όπως να επισκευθούν μια σελίδα ή να ανοίξουν ένα email.

Έτσι, ο Miller κατάφερε να πάρει τον έλεγχο του MacBook Air ζητώντας από τους διοργανωτές να επισκευθούν μια συγκεκριμένη ιστοσελίδα στης οποίας κώδικα είχε εισάγει ήδη τον δικό του «κακό» κώδικα, ο οποίος μόλις εκτελέσθηκε από τον browser Safari, του έδωσε πρόσβαση στoν πίνακα ελέγχου του MacBook Air. H όλη διαδικασία πήρε στον Miller μόλις δύο λεπτά.

Ο Miller με βάση τους κανόνες του διαγωνισμού υπέγραψε δήλωση που τον υποχρεώνει να μη διαδόσει την αδυναμία του Safari μέχρι η ίδια η Apple να δημοσιεύσει κάποιο update που να κλείνει την ¨τρύπα». Η Apple ενημερώθηκε για την vulnerability του software της άμεσα από τους διοργανωτές.

Η ειρωνία είναι πως τον ίδιο Safari, που ο Miller χάκαρε σε 2 λεπτά, η Apple λίγες μέρες πριν μας τον εγκατέστησε σχεδόν με το ζόρι.

Σήμερα είναι η τελευταία μέρα του διαγωνισμού και θα μάθουμε πως τα πήγαν τα άλλα δύο notebooks που τρέχουν Ubuntu 7.10 και Windows Vista Sp1.

Πιο πρόσφατα:
Νίκησε η Ubuntu, Leopard και Vista KO, CanSecWest συνέχεια.

2 Σχόλια»

  Νίκησε η Ubuntu, Leopard και Vista KO, CanSecWest συνέχεια. « Altervedo’s Weblog wrote @ 30 Μαρτίου, 2008 at 7:32 μμ

[…] ετικέτα: Apple, CanSecWest, Mac OS X, Microsoft, Ubuntu, Windows, Windows Vista SP1 Σας μίλησα προχθές για τη δεύτερη μέρα του διαγωνισμού PWN to OWN που […]

Απάντηση
  Η Apple σε safari για vulnerabilties « Altervedo’s Weblog wrote @ 18 Απριλίου, 2008 at 7:58 πμ

[…] για να διορθώσουν την αδυναμία που είχε παρουσιάσει ο Miller κατά τη διάρκεια του διαγωνισμού PWN to OWN στην CanSecWest V…. Η αδυναμία αφορούσε τον browser Safari της Apple ( από εδώ και ο […]

Απάντηση

Σχολιάστε