MacBook Pro invadido em concurso
A invasão aconteceu dia 20/04 na conferência CanSecWest 2007 que aconteceu em Vancouver. Shane Macaulay e Dino Dai Zovi usaram uma vulnerabilidade do Safari do tipo “zero-day”, ou seja, sequer conhecida e obviamente sem correção disponível. Através de um site malicioso, eles usaram um código em Javascript e ganharam acesso em nível de usuário no Mac OS X. O concurso ainda possuía um segundo MacBook Pro que deveria ser invadido com permissões de root, mas sem sucesso dessa vez.
A Apple recusou-se a comentar o caso e apenas deu a resposta padrão de que “leva muito a sério a segurança e sempre detecta tais falhas antes das mesmas afetarem os usuários”.
Eu sempre disse que não há sistema totalmente seguro e perfeito e que mais dia menos dia o Mac OS X começaria a se tornar alvo de ataques e despertar a cobiça de crakers ávidos por invadir um sistema que de fato seja um desafio que valha a pena.
Moral da história:
1- Que a Apple de fato leve a sério a segurança do Mac OS X e, sem salto alto, disponibilize o quanto antes um security update que corrija essa falha.
2- Que os usuários (radicais) de Mac tenham consciência de que por mais seguro que o Mac OS X seja, ele não é perfeito e, portanto, merece atenção na segurança também.
3- E por fim, que os usuários (radicais) de Windows não se iludam achando que de um dia para o outro o Mac OS X virou uma “peneira” e o Windows um exemplo de segurança a ser seguido…
2 de Maio de 2007 @ 02:00
[…] Foi lançado hoje, apenas 10 dias após a invasão de um MacBook Pro na conferência CanSecWest 2007, um update que, entre outras coisas, corrige a falha de segurança que permitiu tal invasão. […]