Hacker vant konkurranse mot Apple Mac

En hacker-konkurranse viser at også naive Mac-brukere er en trussel mot seg selv.

23. apr. 2007 - 09:55

Apple Mac har ry på seg for å være langt sikrere å ferdes med på Internett enn Windows-PC-er. To begivenheter i forrige uke viser at det faktiske grunnlaget for det gode ryet kan være i ferd med å svekkes.

Torsdag kveld sendte Apple ut årets fjerde oppgradering for å bedre sikkerheten i Mac OS X, med til sammen 25 nye fikser.

    Les også:

Fredag ble en av konkurransene på «hack en Mac»-konferansen CanSecWest vunnet av en hacker som påviste et hittil ukjent sikkerhetshull i Apples nettleser Safari. Maskinen som ble hacket, var utstyrt med alle Apples sikkerhetsoppdateringer, også den sendt ut kvelden før.

Ifølge en av de ansvarlige for CanSecWest, som organiseres for åttende år på rad i den kanadiske byen Vancouver, innebærer hullet at hver eneste installasjon av Mac OS X er sårbar.

Utfordringen i den aktuelle konkurransen, var å konstruere et nettsted slik at uvedkommende kunne ta kontroll over besøkende som brukte en maskin med Mac OS X. Nærmere bestemt skulle Mac-brukeren få tilsendt en e-post med en bestemt lenke, og oppleve et datainnbrudd bare ved å klikke på lenken.

Andre og vanskeligere «hack en Mac»-konkurranser på konferansen står fortsatt uten vinnere: Ingen greide for eksempel å bryte seg rett inn i en Mac, uten å lure brukeren til et bestemt nettsted.

Sikkerhetshullet som la grunnlaget for å vinne konkurransen, ble ifølge Cnet oppdaget natt til fredag av sikkerhetsekspert Dino Dai Zovi. Han brukte deretter ni timer på å skrive koden som utnyttet det. På konferansen ble hans partner Shane Macauley kreditert med seieren, siden det var han som implementerte koden på nettstedet som ble brukt.

Dai Zovi er tidligere erkjent av Apple som opphav til påvisninger av flere sikkerhetshull i Mac OS X.

Premien på CanSecWest var en bærbar Mac. I tillegg hadde sikkerhetsselskapet TippingPoint utlovet en dusør på 10.000 dollar dersom et vellykket hack ble gjennomført med en hittil ukjent sårbarhet. Dai Zovi sier han vil søke om denne pengepremien.

Å sende ut ondsinnede lenker per e-post er en yndet metode for å overta Windows-PC-er. Hullet som Dai Zovi utnyttet, viser at også naive Mac-brukere kan være en trussel mot seg selv – og mot andre.

Apple har ikke kommentert tilfellet ennå, utover å si at de tar sikkerhet svært alvorlig.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.