Bastano due minuti per violare un MacBook Air

Si possono fare tante cose in due minuti: cuocere un uovo al tegamino, ascoltare un file mp3, perdere un treno, leggere questo articolo… Ma in 120 secondi si può anche compiere un accesso non autorizzato in un MacBook Air e vincere 10.000 dollari sonanti. La notevole impresa è riuscita a Charlie Miller, un cracker che ha recentemente partecipato al concorso PWN2OWN nell’ambito del convegno sulla sicurezza CanSecWest di Vancouver (Canada). In meno di due minuti, Miller è riuscito a introdursi nel sistema operativo del laptop prodotto da Apple leggendo il contenuto di un file precedentemente indicato dalla giuria della competizione.

La sfida posta ai cracker dagli organizzatori del concorso consisteva nell’introdursi nei sistemi operativi di un Sony Vaio, di un Fujitsu U810 e di un MacBook Air: il primo che fosse riuscito nell’impresa avrebbe poi vinto una somma in denaro e la possibilità di ricevere in premio il laptop violato. Nel corso della prima giornata della competizione nessun concorrente è stato in grado di introdursi nel sistema operativo dei dispositivi. Le regole per il primo giorno prevedevano, infatti, la possibilità di attaccare i computer utilizzando esclusivamente comandi di rete. Terminata la prima fase della gara, le regole sono state ammorbidite, permettendo ai concorrenti di indurre i membri della giuria ad aprire particolari messaggi email o collegarsi a determinati siti Web.

Passato già alle cronache per aver modificato le prime versioni del firmware degli iPhone, Charlie Miller ha impiegato appena due minuti per entrare in pieno controllo di un MacBook Air. In brevissimo tempo, il cracker è riuscito ad eseguire una stringa di codice in remoto sul laptop ultrasottile di Apple, garantendosi così l’accesso non autorizzato al sistema operativo e al file indicato dai membri della giuria. Secondo DVLabs, un accesso così rapido sarebbe stato consentito da una falla di sicurezza da poco scoperta in Safari e a cui Apple non avrebbe ancora provveduto con il rilascio di un aggiornamento per rimuovere il bug. I concorrenti si sono impegnati a non rivelare entità e strategie per sfruttare la falla fino a quando Cupertino non avrà rilasciato una patch adeguata in grado di risolvere il malfunzionamento. Lo scorso anno il concorso fu vinto da un concorrente (Dino Dai Zovi) che fu in grado di sfruttare un problema di sicurezza affondando un Apple MacBook.