No Pwn2Own, um hacker quebrou, em dois minutos, a segurança de um Internet Explorer 8 instalado no Windows 7. Não se riam os fãs da Apple: iPhone e Safari passaram pela mesma “vergonha” neste concurso de hackers.
O Pwn2Own é um concurso direccionado a hackers que é organizado em simultâneo com a conferência CanSecWest, que se realiza anualmente em Vancouver, Canadá.
Mais uma vez o concurso provou que nenhuma das “vítimas do costume” está a salvo do engenho dos “suspeitos do costume” – nem mesmo o recém-lançado browser Internet Explorer 8, quando usado num Windows 7 de 64 bits, escapou.
De acordo com a Computerworld, um especialista holandês e outro alemão ganharam prémios de 10 mil euros depois de assumirem o controlo de uma máquina com a versão mais recente do Windows.
O hacker holandês, que dá pelo nome de Peter Vreugdenhil, surpreendeu a plateia ao combinar vários métodos de ataque para superar as barreiras de segurança criadas pelos sistemas DEP (data execution prevention) e ASLR (address space layout randomization), da Microsoft.
Com esta combinação de técnicas de ataque, que já se encontra publicada na Web , Vreugdenhil precisou apenas de dois minutos para ganhar o prémio na categoria de “ataques ao IE8 no Windows 7” – mas demorou mais de meia hora para alcançar o mesmo feito com o Firefox 3.6 (a correr num Windows 7 de 64 bits), arrecadando mais uma vez 10 mil dólares de prémio.
A Microsoft já informou que vai investigar as vulnerabilidades.
O concurso de Hackers premiou ainda com 10 mil dólares Charlie Miller, que assumiu o controlo à distância de um MacBook Pro Air, a partir de uma vulnerabilidade do browser Safari.
Miller não é um novato no concurso e já em 2009 ganhou 5000 dólares com um ataque ao Safari, lembra a Cnet.
Ainda no reino da Apple, resta lembrar que nem a “jóia da coroa” – que é como quem diz, o iPhone – se livrou das partidas dos peritos de segurança.
E ao contrário do que possa parecer o método usado não foi assim tão diferente do que costuma acontecer com as máquinas que correm outros sistemas operativos.
A Vincenzo Iozzo e a Ralf Philipp Weinmann bastou o desenvolvimento de um código malicioso, durante duas semanas, e encaminhar um iPhone para um site que distribui esses códigos para aceder aos SMS que se encontram no terminal.
Hom Digitalis 