www.MegaLab.it

Charlie Miller ha portato a casa uno scintillante MacBook nuovo di zecca e ben 10.000 dollari in contanti, e tutto quello che ha fatto è stato suggerire a qualcuno di visitare un sito per mezzo del browser integrato sul sistema. È successo in occasione del contest PWN 2 OWN, tenutosi nell'ambito della conferenza sulla sicurezza CanSecWest 2008 a Vancouver.

Miller verrà ricordato come l'hacker dei due minuti, vale a dire il tempo che gli è servito per violare la sicurezza del sistema operativo di uno dei tre laptop messi in palio nel contest, ovverosia un Sony Vaio, un Fujitsu U810, e appunto un MacBook di Apple. Il primo giorno della gara è passato senza che nessuno riuscisse, da remoto attraverso la rete, a guadagnare accesso al sistema per leggere un file per mezzo di una falla "zero day" ancora ignota al produttore e agli esperti di sicurezza.

Il secondo giorno la storia è andata diversamente, poiché i partecipanti hanno avuto la possibilità di dettare istruzioni agli organizzatori per usare i computer e compiere operazioni come la navigazione web e l'apertura di e-mail. Miller ha a quel punto indicato all'operatore un sito specifico da visitare, precedentemente preparato con un exploit grazie al quale l'hacker è riuscito a ottenere il pieno controllo di Mac OS, guadagnandosi l'applauso dei 20 spettatori presenti al contest.

Miller non è nuovo agli hack di successo quando si parla del mondo Apple, visto che si tratta di uno dei primi in grado, durante lo scorso anno, di "sbloccare" le funzionalità di iPhone che Apple voleva al contrario blindate entro le rigide regole preimpostate dal contratto in esclusiva con l'operatore americano AT&T.

Riguardo la falla specifica utilizzata dall'hacker sul MacBook nulla si sa, visto che Miller ha firmato l'accordo di "nondisclosure" che gli è stato prontamente piazzato sotto al naso al termine del contest. Bisognerà dunque attendere che TippingPoint, uno degli sponsor di PWN 2 OWN, notifichi il problema a Apple per saperne di più. Di certo l'episodio rappresenta l'ennesimo segno inequivocabile di una nuova stagione per i prodotti della mela, bersaglio di smanettoni e appassionati di sicurezza in trasferta dal mondo Windows con il chiodo fisso delle vulnerabilità del software.