Como cada año, el evento Pwn2Pwn reúne a los mejores expertos en seguridad para retarles a encontrar vulnerabilidades en varias plataformas de uso general a cambio de premios en metálico. Y como cada año, el navegador Safari ha sido la víctima de esos retos. De hecho, la seguridad de Safari ha sido burlada dos veces este año.
La primera vez ha sido de la mano de Amat Cama y Richard Zhu, miembros del equipo Fluoroacetate. Ambos expertos han conseguido utilizar la técnica integer overflow (un intento de mostrar un número de más cifras del que una variable puede soportar) para romper la seguridad del navegador, y además han llegado a saltarse el sandboxing que normalmente hace que las aplicaciones no puedan leer o escribir datos de otras aplicaciones.
Sacándole los colores a Safari para el beneficio de todos
Pero la vulnerabilidad explotada en el segundo agujero se seguridad es más importante: la han aprovechado los equipos Phoenhez y Qwerty Team, que gracias a una vulnerabilidad de Safari han logrado hacerse con el control total de un Mac. La buena noticia es que esa vulnerabilidad ya ha sido descubierta y solucionada por Apple, de modo que no representa una amenaza para el resto de los usuarios. De todas formas, los equipos de expertos que han logrado aprovechar todos estos agujeros de seguridad de Safari han ganado sendos premios de 45.000 y 55.000 dólares.
Eventos como el Pwn2Own nos ayudan a comprender dos cosas. La primera es que jamás vamos a tener un sistema operativo perfectamente seguro, y la segunda es que las compañías como Apple necesitan de estos concursos para que así se descubran las vulnerabilidades más rápidamente. La prueba de ello: Safari ya estaba expuesto a esas vulnerabilidades hace diez años.
Ver 4 comentarios