MacBook com Safari é hackeado em 10 segundos na PWN2OWN 2009 [atualizado]
O cara prometeu e cumpriu: Charlie Miller, que no ano passado invadiu um MacBook Air na conferência CanSecWest e levou US$10 mil pra casa, conseguiu hoje explorar uma brecha no Safari rodando em um MacBook e hackeou o sistema em menos de 10 segundos. A nova façanha lhe rendeu mais US$5 mil (e o notebook).
Um link utilizado por Charlie e seu time explorou uma vulnerabilidade no navegador da Apple para abrir a máquina para invasão em poucos segundos. Em outras palavras, toda a investigação já havia sido feita antes do evento; lá, ele só executou o script e comprovou o achado aos participantes da conferência. Como de praxe, a descoberta é de direito da Zero Day Initiative, da TippintPoint, que trabalhará com o pessoal de Cupertino para corrigir a falha. Os detalhes só serão revelados quando um patch estiver pronto.
Mas a coisa não terminou por aí: um pesquisador de segurança conhecido como “Nils” conseguiu hackear, também, um Sony Vaio rodando uma versão atualizada do Windows 7 com o Internet Explorer 8 — que, por sinal, acaba de ser lançado oficialmente pela Microsoft. Ele também levou o prêmio em dinheiro pra casa, além do laptop usado na invasão. Mais tarde, “Nils” também conseguiu hackear o Safari.
O evento continua até sexta-feira. Veremos se mais surpresas aparecem no caminho.
Atualização (19/3/09 às 1h50): de acordo com o Security Watch, apesar de ter demorado um pouco mais, o Firefox também caiu no primeiro dia da PWN2OWN.
![PayPal poderá bloquear acesso de usuários do Safari [atualizado]](http://macmagazine.uol.com.br/wp-content/themes/arthemia-premium/scripts/timthumb.php?src=http://macmagazine.uol.com.br/wp-content/uploads/2008/04/18-paypal.gif&w=150&h=150&zc=1&q=100)
![Google testa nova interface de buscas, muito mais colorida [atualizado]](http://macmagazine.uol.com.br/wp-content/themes/arthemia-premium/scripts/timthumb.php?src=http://macmagazine.uol.com.br/wp-content/uploads/2009/11/25-google_visual01-550x358.png&w=80&h=80&zc=1&q=100)
Se for o Safari 4 é intendivel, o software ainda é beta. É que nem reclamar do Windows 7.
Acho que não foi o safari 4 não.
Mas se for é muito ruim, pq geralmente os betas tem muito bugs e falhas de segurança.
Windows Seven – um Sistema Operacional beta com Navegador em desenvolvimento foi invadido depois de um Navegador sólido, sistema operacional final, numa “plataforma sólida” como o Unix.
Meu amigo, você não deveria dizer: é como reclamar do Windows 7. Cadê a imunidade, a solidez do Unix?!
Day 1: Default install no additional plugins. User goes to link.
Então é o Safari oficial, não o beta.
E porque o IE8 entrou na roda? Até ontem ele não era a versão final
Windows 7 não tem outro IE que não o 8, porque escolheram o Windows 7? Sei lá, vai perguntar pra eles…
O Mac OS estava totalmente atualizado e totalmente patcheado o que torna a situação ainda mais grave para a Apple…
O mais legal de tudo é que minha previsão estava correta… só não esperava tamanha velocidade… heheh… basta consultar o meu comentário neste link do MM: http://macmagazine.com.br/blog/2009/02/26/competi...
Ainda dá pra isentar o Windows 7 e o IE8 por serem versão de testes… mas o resto…
Rafael, versão do IE8 liberada oficialmente é a RC1 se não me engano…
Nem tanto apesar de ser regra o sistema estar atualizado, ele também tem que estar na configuração padrão do fabricante.
E existem muitas ferramente dentro do OS para se customisar a segurança, eu me regro em 8:
1º não trabalhe com usuário Admin só usuário Padrão.
2º Habilito o Firewall que não vem habilitado por padrão e suas funções avançado modo discreto (oculto) e registro de atividades
3º Filevault habilitado uma forte ferramenta de criptografia de todos os seu dados mesmo que tenham acesso aos seus computador ele não poderia ler os seu dados.
4º Habilitar a função de usar memoria virtual segura
5º Não utilizo as funções de salvar senha tanto no Safari como no Firefox
6º Desabilito a função de abrir arquivos Seguros do Safari
7º Se existe um falha grave divulgada em um Navegador use outro
8º Mantenha-se informado
Fora esse manual da própria Apple para se aumentar a segurança mais até acho exagero ele mais para uso corporativo veja o link.
http://images.apple.com/server/macosx/docs/Leopar...
É que para derrubar concorrentes do Firefox, o pessoal muda os critérios esquecendo de algumas novas versões Beta e adotando outras. Eventos Mozillicos como este nunca dão em nada além de alguns posts sugestivos em diversos blogs e portais. 2 dias depois o pessoal esquece.
O grupo Mozilla está sem foco e meio perdido no esquema Snow Leopard + iPhone + Safar 4 Final, Windows 7 + IE8 e o Chrome.
agora vou cuidar mais na hora de ver sites de piriguetes ! :P Meddoooo :D
Chama esse cara pra trabalhar na maçã que eh bem melhor. HAUhauahaaa
Os organizadores do evento vão repassar a falha para a Apple e também os participantes se comprometem em não divulga-la até ser corrigida
Acho que não é motivo suficiente de Arrancar os cabelos, o cara preparou tudo e invadiu, para sofrermos com isso teríamos que ter algum cara focado em MAC, e se ainda não somos maioria, então dificilmente os hackers vão focar na plataforma da Apple.
Acredito que escolheram o Windows 7 porque o Vista tá tão bugado que nem vírus funciona nele. Estive vendo o W7 e acredito que ele é muito melhor que o Vista, tanto em visual quanto velocidade e recursos.
Se não utilizaram o Safari 4 então não podemos afirmar que estamos correndo grande risco, pois talvez esta brecha nem funcione mais nele, mas de qualquer forma elas serão corrigidas pela Apple assim que sairem os detalhes das invasões.
Isso mostra que nenhum sistema é confiável o bastante. Se hackers investirem em invadir uma hora hora conseguem!
Trabalho com informática a anos, e digo que não existe sistema 100%. Nem nunca existirá.
A melhor abordagem seria utilizar o Linux ou o MacOSX por serem menos visados que o Windows.
Claro que se o usuário do sistema ajudar conta muito.
Até mais,
Concordo com vc é sempre bom se manter informado, utilizar algumas ferramentas de segurança o próprio Mac tem várias já inclusas é só habilitar ela
Eu gostaria de entender como funciona esse tipo de invasao… Tipo: o cara meio que se conecta n omicro invadido? tem acesso a ele? e o mais estranho, ele faz isso usando o Safari??? Essa nunca entendi…
Ele não usa o Safari para entrar no computador. Ele aproveita uma falha no navegador ou para gerar um buffer overflow, ou para instalar um backdoor ou um root kit…
Gostei dessa brincadeira!
não entro mais no banco pelo Safari
E vai entrar por onde? Safari foi o primeiro, mas o IE e Firefox vieram logo depois! Não adianta confiar em segurança de software, o que importa é a Mentalidade Segura! ;)
Se ficou preocupado então siga esse 8 Passos:
1º não trabalhe com usuário Admin só usuário Padrão.
2º Habilito o Firewall que não vem habilitado por padrão e suas funções avançado modo discreto (oculto) e registro de atividades
3º Filevault habilitado uma forte ferramenta de criptografia de todos os seu dados mesmo que tenham acesso aos seus computador ele não poderia ler os seu dados.
4º Habilitar a função de usar memoria virtual segura
5º Não utilizo as funções de salvar senha tanto no Safari como no Firefox
6º Desabilito a função de abrir arquivos Seguros do Safari
7º Se existe um falha grave divulgada em um Navegador use outro
8º Mantenha-se informado
Obs: e mesmo assim vc nuca estará 100% seguro
A hipocrisia eh tao grande que sempre usaram o IE pra acessar bancos mas esqueceram que ele ainda eh o campeao de vulnerabilidades. ou nao se lembram que toda semana eram descobertos centenas de bugs e a maioria nao estava nem ai, pois acreditavam que nao iriam acontecer com eles. Usem o safari a vontade.
Verdade o IE e campeão de vulnerabilidades mais as melhores marcas forão no tempo do IE 6, de lá pra cá melhorou claro nunca vai ser perfeito
Deletaram meu POST??????
Ops… to ficando cego.. hahah. Esta logo acima.. hehe
Computador seguro é computador sem internet e fora da rede. Eu particularmente gosto desse tipo de evento por mostrar que NENHUM navegador é 100% seguro, então não adianta se estressar.
Sim mais convém se manter informado e tomar medida preventivas dentro do OS tem várias ferramentas de segurança .
veja o link do manual de segurança da Apple para Mac OS X Leoapard
http://images.apple.com/server/macosx/docs/Leopar...
fail, next..
Intendível mas não cumpriemsíviu.
Computador seguro é computador dentro da caixa lacrado. A anos penso asiim e daqui há anos continuarei pensando da mesma forma.
Como você comentou aqui?! O.o
Não diga que foi com o iPhone, porque ele também usa Safari…
"MacBook" com Safari é hackeado em 10 segundos na PWN2OWN 2009…
Por isso que só uso desktop!
Acho que o fato de ser notebook não muda nada…
tbm acho q n tem nada a ver!!
Nao é mais, o FF e o Opera perderam no número de vulnerabilidades
Esse tipo de evento é bom pra alertar as empresas a aperfeiçoarem a tecnologia. O que está acontecendo com a Apple é que como o mercado dela era pouco visado, eles não tinham necessidade de preocuparem tanto com segurança. Só que agora eles tem de 7 a 9% do mercado dependendo da estatística, uma fatia considerável. E o número de softwares pra platforma também aumentou consideravelmente, o que deixa ainda mais vulnerável.
Agora a Apple tem de estruturar a área de segurança pra manter a qualidade e conseguir agilidade nas correções.
O Mac OS X tem várias ferramentas de segurança a disposição, e claro que um usuário informado evitaria o usaria o Firefox ao invés do Safari
Essa brecha já é uma velha conhecida…acesso remoto direto do SAFARI…rs
Todos lá já conheciam a falha…
Cheers!!!
Essa brecha era conhecido por Charlie Miller e não foi divulgada, mais fica o alerta quem quer manter segurança fique informado.
Eu sempre defendi que é importante customizar a segurança de um sistema, apesar da Regra do concurso exigir o Sistema atualizado, ela também exige ele em configuração padrão e até hoje eu não sei porque o firewall do OS X vem desbilitado.
Acho que o fato de ser notebook não muda nada… [2]
Esse sensacionalismo barato de "invasão em 10 segundos" é balela… Esse garimpeiro ficou ao menos uns 10 meses pesquisando até encontrar uma brecha e desenvolver um script para executá-la através de um website com sucesso.
Passado todo o trabalho pesado, só esperou o dia do concurso para abocanhar o prêmio.
E ainda teve a sorte do código não ter sido revisado nos últimos patch de segurança, pois caso desse esse azar todo o trabalho de 1 ano aproximadamente teria ido pro espaço.
Muito bom trabalho, isso ajuda a melhorar o produto e o desenvolvimento de códigos mais robustos.
Eu uso Mac e como em qualquer outro sistema é recomendado costumisar a segurança :
1º não trabalho com usuário Admin só usuário Padrão.
2º Habilito o Firewall que não vem habilitado por padrão e suas funções avançado modo discreto (oculto) e registro de atividades
3º Filevault habilitado uma forte ferramenta de criptografia de todos os seu dados mesmo que tenham acesso aos seus computador ele não poderia ler os seu dados.
4º Habilitar a função de usar memoria virtual segura
5º Não utilizo as funções de salvar senha tanto no Safari como no Firefox
6º Desabilito a função de abrir arquivos Seguros do Safari
7º Faz tempo que o Meu navegador padrão é o Firefox
Obs: não uso anti-virus, tenho um só para dar um scan em algum arquivo que recebi e são suspeito em consideração para não repassar ele para usuário Windows
Para aqueles que não acreditaram no cara, enfiem a cara na lama. Safari não é tão seguro quanto se parece.
Boas dicas de segurança…
Tomo com precaução 6 das 7 citadas acima… Nunca habilitei a (3) Filevault, mas também não sei direito como usá-la…
Entre um inseguro e lento e um inseguro e rápido eu fico com o Safari mesmo.
Só resta saber se essas medidas de segurança seriam válidas contra o script do cara.
ainda sobrou o Camino e o Opera, mesmo assim acredito que o trabalho de segurança do Firefox seja melhor que o do Safari
O Camino, bem lembrado!
Esse seria um navegador que eu usaria praticamente sem medo, se tivesse Mac.
Se ele ficou 10 meses estudando a falha, é mais grave ainda. Quer dizer que tem 10 meses que a plataforma ficou vulnerável sem a Apple disponibilizar correção. Nem a MS consegue deixar o seu sistema tanto tempo vunerável.
http://gizmodo.com.br/conteudo/hackear-em-macs-e-...