Digital.it
Google scende in campo contro DNSCharger
McAfee: malware in aumento su Android, PC e Mac
Quando il CAPTCHA diventa un gioco
Nessuno riscatterà il denaro del trojan
QR code per la pagina originale
news_fb94b088cd2f387f.jpg

iPhone, IE, Firefox e Safari: Pwned!

Al contest Pwn2Own della CanSecWest 2010 cade per primo l'iPhone: appena 20 secondi per scaricare l'intero database degli SMS dal telefono (co-autore dell'exploit l'italiano Vincenzo Iozzo). Cadono, inoltre, Safari, Internet Explorer 8 e Firefox

Cadono uno dopo l’altro: al contest “Pwn2Own” della CanSecWest conference cade per primo l’iPhone, seguito dalla trilogia di browser composta da Safari, Firefox ed Internet Explorer. L’evento è organizzato per portare a galla gravi vulnerabilità nei vari software ed ancora una volta la conclusione è un successo (per gli organizzatori) e un insuccesso (per le vittime sacrificali).

Il contest è organizzato sulla base di un premio dovuto a quanti, aggirando lo stato dell’arte nella sicurezza delle varie applicazioni, riesce ad affondare un attacco in grado di prendere pieno possesso del sistema violato. L’iPhone cade sotto i colpi di Vincenzo Iozzo (22enne, italiano, recentemente intervistato da oneITsecurity) e Ralf Philipp Weinmann, dai quali giunge il codice in grado di accedere al telefono facendo proprio il database degli SMS. L’exploit può essere mandato a segno tramite la semplice visita di un sito web: il caricamento della pagina include l’upload del database ed il pieno controllo sullo stesso. Ma non solo: sebbene l’exploit proposto fosse in grado di violare il database degli SMS, in realtà l’attacco è in grado di fare molto di più giungendo anche ai contatti, alle immagini archiviate, alle email e molto altro. Il tutto in appena 20 secondi. Per la coppia un premio da 15 mila dollari, per Apple un danno di immagine a cui porre necessariamente rimedio mediante una patch quanto più solerte possibile.

Ulteriori 10 mila dollari sono andati a Charlie Miller, ancora una volta cecchino ai danni di Safari. Nessun dettaglio è stato diramato circa la vulnerabilità colpita, ma è esplicato il fatto che trattasi di un problema di particolare gravità il cui exploit è particolarmente efficace e pertanto comodo da utilizzare in caso di attacco. La dimostrazione è stata effettuata su di un MacBook Pro aggiornato, sul quale Miller ha dichiarato di poter fare da remoto qualunque operazione.

Peter Vreugdenhil ha affondato Internet Explorer 8 (pdf), Nils ha affondato Firefox. Nel primo caso sono state aggirate tutte le misure di sicurezza dell’ultima versione del browser e del sistema operativo (bypassate la Address Space Layout Randomization e la Data Execution Prevention) ottenendo pieni diritti sul sistema. Vreugdenhil ha poi ricordato come IE sia il browser più diffuso al mondo e che, proprio per questo motivo, è molto più interessante sviluppare exploit che colpiscano il browser di Redmond: ed è per lo stesso motivo che Vreugdenhil usa pertanto Opera come browser predefinito sulla propria macchina personale.

Nils ha tirato in ballo Firefox prendendo pieno controllo del sistema tramite “memory corruption vulnerability” (nella prova è stato utilizzato, come da regolamento, Firefox 3 invece dell’ultimo Firefox 3.6.2). Anche in questo caso sono state aggirate le tecnologie ASLR e DEP, qualcosa su cui Microsoft promette immediate indagini e per le quali non si segnala al momento alcun attacco in corso.

Se vuoi aggiornamenti su iPhone, IE, Firefox e Safari: Pwned! inserisci la tua e-mail nel box qui sotto:

  • http://www.blogzilla.info Giuliano

    Sì, però per affondare Firefox hanno dovuto usare la versione 3. Manco la 3.5.* o la 3.6.*… Scommetto che se avessero provato con Netscape 6, gli sarebbe rimasto ancor più semplice.
    IMHO, a volte questi “concorsi” lasciano un po’ il tempo che trovano.
    Ah, tra l’altro Chrome non l’hanno bucato perché hanno usato una versione che girava in una sandbox…
    Ripeto, saranno anche utili questi hacking contest, ma mi lasciano comunque un po’ perplesso…

  • http://www.webnews.it Giacomo Dotta

    Giusta segnalazione. Ed immediatamente integrata nell’articolo con tanto di link all’opinabile regolamento del contest.

    Il quale sembra perseguire una linea precisa: il test della configurazione più diffusa, piuttosto che il test dell’ultima versione disponibile.

  • Piero

    >> tra l’altro Chrome non l’hanno bucato perché hanno usato una versione che girava in una sandbox…

    La spiegate meglio questa? Perchè suona illogica detta così. Hanno fatto girare tutti i browser sotto tecnologia di sandboxing durante il contest o parlate delle specifiche di isolamento dei processi che sono intrinseche a Chrome?

  • http://mozillaitalia.it Gioxx

    Grazie anche da parte mia Giacomo,
    facendo presente che è stata usata una vecchia versione dell’applicativo (Firefox) non alimenta ulteriormente le stupidate già pubblicate su altre testate (evito nomi diretti, comunque facilmente intuibili per chi quotidianamente naviga sul web e legge i quotidiani) riguardo l’exploit che metteva in difficoltà Firefox 3.6 (corretto nella versione 3.6.2) ;-)

    Giovanni.

  • Paolo

    @Dotta
    Se testano la configurazione più diffusa allora perché Windows 7 che è usato da un utente su 10 e non XP? E poi, se anche fosse, perché FF3 e non FF 3.5 che è sopra FF3 da mesi? O FF 3.6 che l’ha superato questa settimana?
    http://gs.statcounter.com/#browser_version-ww-weekly-200935-201011

  • Paolo

    Mi auto correggo: anche XP sarà tra i bersagli; resta da capire perché non FF 3.6

  • http://www.webnews.it Giacomo Dotta

    Oggi dovrebbe toccare a Vista. Domani a XP. Chi è interessato può cercare su Twitter quando in Italia saranno le ore piccole. O altrimenti domattina, su Webnews (sempre che scaturisca qualcosa di interessante… ma mi sa tanto di si!)

  • hexaae

    L’ASLR e la DEP non sono una gran cosa… Invece non è chiaro se IE8 girava in MODALIÀ PROTETTA, quindi sandboxato dietro Integritly Levels e con diritti più bassi persino di un exe lanciato dal menu di Windows?

    Quando la gente inizierò a capire l’UAC e la Modalità Protetta invece di DEP e ASLR che servono solo a rendere più duro il lavoro?

  • Enzo R.

    Data la mia epidermica cultura in materia, non posso azzardare avventurosi commenti. Mi limito ad osservare che riesce difficile capire la reale utilità di simili gare. La pur breve storia dell’ICT è costellata di “patch” che daranno luogo, inesorabilmente, ad altre patch: qual beneficio trae il settore dal far sapere che le informazioni elaborate e scambiate da ciascuno di noi equivalgono a manifesti cartacei incollati sui muri di città e paesi sparsi su tutto il globo terrestre? Chi è che cade, I Phone, Safari, Firefox, IE, etc o tutta la ICT?

  • rgb

    Mi domando chi ha interesse a creare questa confusione che di fatto si trasforma in disinformazione.

    ciao ciao

  • hexaae

    « …TUTTE le misure di sicurezza dell’ultima versione del browser e del sistema operativo (bypassate la Address Space Layout Randomization e la Data Execution Prevention)»

    E da quando in qua DEP e ASLR sono “tutte” le misure di sicurezza di Vista/Win7? SEHOP, UAC e Integrity Levels (da cui la Modalità Protetta di IE) in primis etc. etc.? Mah…

  • dab

    A prescindere dalle versioni prese in esame, questo dimostra che non esiste sw esente da bug di considerevole gravitá: sistemi ritenuti “a prova di intrusione” come iPhone OS sono stati violati con una pagina web…nel momento che un programma (o un OS) diventa diffuso, allora solo in quel caso ci si rende conto di quanto sia vulnerabile, non quando appartiene al 3% della popolazione…ne é la prova che dal momento del rilascio del Ballot Screen, browser ritenuti molto sicuri come Chrome, Safari e Opera hanno subito rilasciato patch di sicurezza….

  • rgb

    niente è inviolabile (col tempo e la paglia maturano anche le nespole)

    auguri a giacomo per questo tuo giornale e per la pasqua!!