Il Pwn2Own ha avuto inizio ieri e ha già decretato il primo vincitore, oltre che il primo browser sconfitto: si tratta del team che risponde al nome di VUPEN, un gruppo di ricercatori nel campo della sicurezza informatica che è riuscito a far cadere sotto i propri colpi Safari, il browser di casa Apple. Oltre al premio, pari a 15.000 dollari ed un MacBook Air 13″, la soddisfazione di essere riusciti a raggiungere il proprio obiettivo prima di chiunque altro.
A rivelarsi l’anello debole della catena è stato WebKit, il motore di rendering scelto dalla società di Cupertino per il proprio browser. L’aspetto più difficile, però, è stato quello di trovare il modo di sfruttare la falla: come ha spiegato Chaouki Bekrar, uno dei tre membri del team, una volta individuata la vulnerabilità in WebKit è giunto il problema di individuare il giusto exploit in grado di permettere l’accesso al sistema tramite il browser. Dopo due settimane di lavoro e innumerevoli ore passate di fronte ai propri schermi, il team VUPEN è riuscito a bucare Safari 5.0.3 su Snow Leopard 10.6.6.
L’ostacolo principale, continua Bekrar, è stata l’assenza di una qualsiasi forma di documentazione relativa agli exploit in ambienti Mac a 64 bit. I tre hacker hanno dovuto agire seguendo il proprio istinto e le proprie conoscenze, realizzando da soli tutti gli strumenti necessari a verificare l’effettiva validità degli attacchi mossi contro l’applicazione della Mela. Alla fine è arrivato però il successo: aggirando le tecnologie di protezione ASLR e DEP, sviluppate da Apple per porre un’ulteriore barriera di sicurezza, l’exploit permette di accedere ad alcune applicazioni installate nel sistema e di scrivere file sul disco rigido, il tutto senza mandare in crash il browser.
Sulla scia di Safari anche Internet Explorer 8, il secondo browser a cadere grazie a Stephen Fewer di Harmony Security. In questo caso sono state necessarie 3 diverse vulnerabilità per mandare in tilt il software di Redmond: due per permettere l’esecuzione di codice da parte dell’hacker, uno per aggirare il sistema di sandboxing integrato dagli ingegneri Microsoft. Resiste invece Google Chrome che, nonostante l’impegno da parte di numerosi partecipanti al concorso, ancora non sembra dare segni di cedimento.