Uno de cada 2 MacBook Pros en la conferencia de seguridad CanSecWest ha sido hackeado con éxito, según los directivos.
El acontecimiento de Vancouver, Colombia Británica, había establecido una competición para intentar y lograr el acceso al nivel de usuario en Mac OS X sobre una red inalámbrica, que se llevo a cabo con éxito después de que los anfitriones del concurso simplificaran las reglas y permitieran que los expertos de seguridad atacaran a través del código enviado por sitios web maliciosos en vez de comprometer directamente al propio OS.
El hack que tuvo éxito fue escrito por el investigador de Matasano Security, Dino Dai Zovi, y puesto en práctica por el ingeniero Shane Macaulay, el equipo combinado al que le llevó nueve horas hacer el trabajo del abuso para el navegador de Safari incorporado de Apple. Los gerentes de CanSecWest no proporcionaron detalles, pero confirmaron que el hack había sido genuino.
Fuente: MacNN
Puf, si esta noticia hubiera sido referente al explorer estaria llena de respuestas eh?
¿explorer?
Segun tengo entendido había que hacerse con el control de uno de los Macbooks para ganar el reto. En uno de los Macbook bastaba con conseguir una cuenta con privilegios de usuario, pero en el otro había que escalar hasta tener privilegios de administrador. Una vez conseguido esto había que seguir unas instrucciones que habían en un fichero para demostrar que se había conseguido.
El primer día solo se permitía acceso por Ethernet o Wifi, y los dos pórtatiles pasaron la prueba, nadie consiguió acceso. El segundo día se relajaron las reglas y se permitió el uso de xploits en Safari. Tardaron 9 horas en encontrar uno, no documentado anteriormente, y sólo se consiguió privilegios de usuario.
No es la seguridad de Safari, es la seguridad de Mac OS X a través de un fallo de Safari.
Aún así… este defecto sólo es explotable, ahora mismo, en Intel. No es que no sea posible hacerlo para PowerPC, pero hay que reescribir la parte de la «posesión»…
El premio del concurso era un macbook pro, pero nadie se interesó por hackearlo, y luego ofrecieron un premio de 10.000$, y entonces se interesaron los hackers… y lo consiguieron por medio de safari.
Lo más curioso, es q apple lanzó hace poco una actualización o mejor dicho, un paquete de parches, de corrección de vulnerabilidades, y aún así, lo han hackeado.
Es curioso que al final el MacBook Pro lo han ganado… por una vulnerabilidad que también afecta a Windows… ¡gracias a Apple!
http://www.faq-mac.com/bitacoras/memoria/?p=715
tal y como dice la noticia, la vulnerabilidad está en quiktime… tanto para OSX o windows, el origen es de apple.
Si tanto tiempo se demoraron, me quedo bastante tranquilo.