Pwn20wn 2011, sicurezza violata per Apple iPhone4 e RIM BlackBerry Torch 9800

Anche quest’anno a Vancouver si è svolto il consueto Pwn2Own. Si tratta di un incontro fra i più grandi esperti di sicurezza che, finanziati da grandi società, accettano la sfida di violare i vari sistemi operativi e condividere la loro vulnerabilità con i proprietari di questi operation-system nel tentativo di renderli più sicuri.

 

Pwn20wn 2011: violate le sicurezze di iPhone4 e RIM BlackBerry Torch 9800


Due sono stati i gioielli tecnologici presenti sul mercato ad essere vittima durante l’incontro di quest’anno. Si tratta dell’iPhone 4 di Apple a cui sono stati in grado di rubare tutti i contatti della rubrica e lo stesso dicasi per il RIM BlackBerry Torch 9800 sfruttando una falla del Browser Webkit del firmware 6.0.0.246. Attenzione non stiamo parlando di virus che in qualche modo bloccano l’utilizzo del palmare ma di falle del sistema operativo che permettono di aggirare e penetrare le sicurezze per impossessarsi di alcuni dati sensibili.

iPhone 4 di Apple è stato violato utilizzando una falla presente nel browser integrato Safari in iOS, riuscendo ad eludere le sicurezze ed a prelevare tutti i contatti dalla rubrica. La versione di iOS presente nell’iPhone 4 è la 4.2.1 ma chi ha violato la sicurezza del ‘melafonino’ afferma che l’exploit è possibile anche sull’ultimissima versione 4.3 di iOS.


Il tallone d’achille del RIM BlackBerry Torch 9800 è stato il suo famoso Browser WebKit inserito nella versione firmware BlackBerry 6 il quale permette una navigazione molto più veloce sul web. Il BlackBerry 9800 Torch utilizzato come test montava la versione di OS numero 6.0.0.246.
 

Pwn20wn 2011: violate le sicurezze di iPhone4 e RIM BlackBerry Torch 9800

 

A sfruttare questo bug sono stati tre specialisti di sicurezza: Vincenzo Iozzo, Ralf-Philipp Weinmann e Willem Pinckaers. I tre hanno utilizzato una pagina creata ad-hoc la quale, aperta sul Browser BlackBerry del Torch, ha permesso di entrare nel sistema, rubare i contatti, alcune foto e persino inserire un file sul dispositivo. Il direttore della sicurezza di Research In Motion - Adrian Stone - ha commentato che sono cose spiacevoli ma che purtroppo qualche volta possono accadere e che comunque avrebbero creato una correzione da estendere ai vari partner telefonici per fissare questa falla.

Nel frattempo le critiche verso RIM sono arrivate subito in quanto gli smarthphone BlackBerry non sono dotati di nessuna tecnologia di protezione come DEP o ASLR. E’ anche vero che iPhone, pur dotata di tali tecnologie, è caduta come gli altri. Uno dei tre protagonisti, Vincenzo Iozzo, ha notato comunque che anche se è riuscito a violare la sicurezza BlackBerry il loro vantaggio continua ad essere ‘l’oscurità’. Essa rende difficile attaccare il sistema di RIM dato che non si dispone di documentazione ed informazione. Questo, detto da un esperto di sicurezza, ci fa pensare come il tutto sia limitato e risolvibile con un fix del Browser WebKit.

 

 

[via]

comments powered by Disqus