Pwn2Own: trovata una falla di sicurezza su iPhone tramite Safari

24 marzo 2010 di Giuseppe Migliorino in News, push

In queste ora è iniziato l’annuale Pwn2Own, evento nel quale i migliori hacker del mondo cercano di trovare falle di sicurezza su vari smartphone.

Proprio oggi Vincenzo Iozzo e Philipp Weinmann hanno subito trovato una falla di sicurezza su iPhone, sfruttando Safari. Tramite questo exploit è stato possibile prendere il controllo del database degli SMS.

Data la velocità con cui i due hacker hanno trovato la falla di sicurezza è presumibile che si fossero già preparati in questi giorni.

Per restare sempre aggiornato sul tema di questo articolo, puoi seguirci su Twitter, aggiungerci su Facebook o Google+ e leggere i nostri articoli via RSS.

L'utilizzo del contenuto di questo articolo è soggetto alle condizioni della Licenza Creative Commons. Sono consentite la distribuzione, la riproduzione e la realizzazione di opere derivate per fini non commerciali, purché venga citata la fonte.
  • Umbi98

    Caspita che velocità…!

  • erti

    grandi ^___^

  • Trustdesa

    Non mi meraviglia nessun sistema è sicuro tanto meno quelli Apple… solo che pochi Hacker ci “lavorano” sopra al contrario dei sistemi Microsft :-)

  • Gengi

    @ Trustdesa
    se sei un cracker e vuoi fare molti danni lavori sui sistemi che sono maggiormente usati. Molti iPhone = molti cattivoni; pc ha il 90% = molti cercano falle in Windows. Vedrete che se un giorno Sarà il mac a detenere il monopolio salteranno fuori falle a gogo. X fortuna ci sn gli hacker che trovano le falle e permettono di tapparle!

  • iZoos

    @Trustdesa: oppure essendo l’iphone os basato su unix, come mac os x e linux, è un pochettino più solido e sicuro rispetto a windows ….

  • Gengi

    se sei un cracker e vuoi fare molti danni lavori sui sistemi che sono maggiormente usati. Molti iPhone = molti cattivoni; pc ha il 90% = molti cercano falle in Windows. Vedrete che se un giorno Sarà il mac a detenere il monopolio salteranno fuori falle a gogo. X fortuna ci sn gli hacker che trovano le falle e permettono di tapparle!

  • Gonzalo

    la sicurezza al 100% non esiste…e non è mai esistita

  • Exedeb

    @Trustdesa: Al dire il vero, gli hacker (lamer…) sono stimolati a rubare informazioni eccetera su Iphone. Non lo rende di certo sicuro, almeno, per ora hanno solo testato…
    Invece, Windows Mobile non ha quasi nessun virus, perchè principalmente non è il sistema operativo “stimolato”, nel senso.
    Android invece è più visto rispetto a Windows Mobile, e hanno testato anche ad Android le stesse cose.
    Faccio notare comunque una cosa: iPhone OS e Android non sono nessuno dei due ambientati in UNIX.
    No, perchè Linux e Mac OS lo sono entrambi….
    Si, in poche parole ho detto che quello che dici tu è in realtà l’esatto opposto. Iphone OS sembra sicuro, ma per tutto questo tempo pochi hanno capito che è facile (non dico io, stò dicendo al loro livello, quindi io non sò farlo…) inserire Malware o scopire dati e “file” (impossibile usarli) privati.
    E si, l’hanno mostrato tutto questo tempo con l’interfaccia molto molto molto mtolto chiusa.
    Vabbè, non ascoltatemi, è solo una idea.

  • Exedeb

    @iZoos: no, Iphone OS non è su UNIX…
    maccheccacchio (tutto attaccato ;) ma non inserite i miei commenti?

  • Gilberto

    @iZoos:

    Mac OS X è ormai a tutti gli effetti uno Unix
    http://www.apple.com/it/macosx/what-is-macosx/core-foundation.html

  • diegoiPhone

    Si si, veloci…
    Ahahahah
    magari lavorano da mesi per scopirie questa falla, che poi vorrei capire di che si tratta, come
    sono entrati e in quali condizioni il mio iPhone può essere a rischio!!!

  • Maurizio

    … Come dicevano una volta: “l’unico computer sicuro è quello spento!” …

  • TOM

    ha anche una shell unix ( terminal)

  • Pingback: Tweets that mention Pwn2Own: trovata una falla di sicurezza su iPhone tramite Safari - iPhone Italia – Il blog italiano sull'Apple iPhone 3GS e iPhone 3G -- Topsy.com

  • Coccobello

    fino a qualche giorno fa tutti a deridere Kaspersy a cui apple non ha accettato l’antivirus….perchè apple è superiore a queste cose….ridicoli….

    apple, devi avere più umiltà…

  • airCrack

    Non credo che l’antivirus avrebbe coperto chissà cosa, anzi.

    E comunque come era successo con il bug degli sms ficeranno pure questo.

  • Invisible89

    Sinceramente d quello che ha detto exedeb ho capito nulla eheh

  • Absolute

    l’unico dispositivo sicuro al 100% è un dispositivo spento….

  • Riccardo

    Piccola correzione: nel Pwn2Own non si “bucano” solo smartphone, lo scopo è di portare a galla falle nei sistemi operativi – Windows, Mac, Linux E OS mobili vari – soprattutto sfruttando le debolezze dei browser.
    L’anno scorso, mi pare, ad uno dei vincitori sono bastati molto meno di 10 secondi per bucare da remoto un Mac Book Pro (che si è portato a casa come premio insieme a 10.000 $) tramite Safari.

  • Gilberto

    Vorrei aggiungere che dire che iPhone non sia basato su Unix non e’ proprio vero… consiglio a quanti affermano il contrario di leggere quanto riportato a questo link
    http://www.roughlydrafted.com/2007/07/15/iphone-os-x-architecture-the-bsd-unix-userland/

  • -teo-

    @Absolute:
    Detto vecchio: da quando c’è la funzione wake-on-lan, deve essere anche scollegato dalla rete :-D
    Riguardo la velocità di scoperta della falla, lo vedo come sensazionalismo: Charlie Miller l’hanno scorso al secondo giorno del contest ci ha impiegato 2 minuti per sfruttare la falla su Mac OS, ma ha dichiarato di averci lavorato per mesi.

  • mcguolo

    Mi piacerebbe proprio sapere perché la sandbox non ha funzionato in questo caso, e soprattutto sapere quali rischi ci sono per un utente…
    Come si fa ad hackerare Safari in questo modo? Basta una webapp confezionata ad arte? Una normale pagina internet? Un’applicazione da installare sull’iphone?
    E se io usassi un altro browser (ovviamente basato su Safari) avrebbe la stessa vulnerabilità?
    Inoltre, immagino che se sono riusciti a prendere il controllo del db degli SMS possano fare la stessa cosa con quello dei contatti, ma oltre a leggere i due db, si possono fare cose più dannose, tipo telefonate, invio sms, invio dei dati ivi contenuti verso un server remoto?
    [EDIT] Come non detto… è appena uscita la risposta su iphoneitalia! :D

  • snowleopard63

    @ TRUSTDESA

    Non è nemmeno paragonabile l’OSX di Apple (UNIX)
    con quella cialtronata di Windows per quanto riguarda la sicurezza.

  • Pingback: » Il jailbreak tramite browser è di nuovo possibile!

  • diegoiPhone

    @Coccobello: Ma sei così sicuro che qualcosa possa entrare nel mio iPhone?
    Ahahahahahaha

    kasperky è una buona azienda, ma per il mio Mac e per il mio iPhone non ne ho proprio bisogno, ho il sistema più sicuro al mondo, ne sono convinto.

    Questi giovani, per dimostrare di essere veramente bravi, dovrebbero entrare nel mio iPhone, da remoto, in 10″…
    Ahahahahahahaha
    col cavolo che ci riescono se non hanno in mano il dispositivo!!!!

  • antani

    @diegoiPhone: nessun sistema è sicuro, tantomeno quelli usati da Apple. E poi per fare certe cose non c’è bisogno di avere il dispositivo in mano, se ci vogliono entrare ci entrano e basta, occorre solo trovarlo il modo.

  • Andy

    A mio parere l’iphone OS è 1 dei sistemi operativi migliori, in generale, ma soprattutto dal punto di vista della sicurezza: pensiamoci….. su questo dispositivo tanto criticato da tutti apple impedisce di installare qualsiasi tipo di app che non sia da lei certificata ( escludendo i profili manuali che ognuno di noi può decidere se installare o meno a proprio rischio e pericolo!!).
    Nessun tipo di applicazione che permette di spiare messaggi e telefonate, a eccezione dell’installazione tramite jailbreak, ke richiede 1 pc, ma soprattutto lascia delle tracce ( 500 mb di memoria in meno, icona cydia a parte se viene nascosta da varie applicazioni, iphone + lento e springboard che va in crash qualke volta…..). possiamo dire che è difficile penetrare in qualsiasi dispositivo apple….. io possiedo 1 mac book pro e nessuno degli antivirus che ho installato mi dà riscontro di file malevoli!!!!