L’occasione è stata il Pwn2Own, nota competizione di hacking di cui ieri si è svolta la prima delle tre sessioni durante la conferenza sulla sicurezza CanSecWest di Vancouver. Durante la manifestazione è stata messa alla prova la resistenza agli attacchi dei browser più famosi. Diciamo subito che sono capitolati quasi tutti. Ecco l’elenco delle illustri vittime: Safari su iPhone, Safari 4 su Mac Os X, Mozilla Firefox 3 e Internet Explorer 8 su Windows 7.

Basta dire che in soli 20 secondi i ricercatori di sicurezza Vincenzo Iozzo e Ralf Philipp Weinmann sono riusciti a “bucare” le protezioni di iPhone tramite Safari. Per farlo hanno utilizzato un exploit integrato in un’apposita pagina Web che, una volta aperta nel browser, è in grado addirittura di inviare ad un server remoto tutti gli SMS (inviati, ricevuti o eliminati) contenuti nella memoria del dispositivo.

A mettere KO Mac OSX ci ha pensato l’esperto di sicurezza Charlie Miller, che nelle precedenti edizioni del Pwn2Own aveva già sbaragliato le difese di questo sistema operativo. Anche Miller ha usato un exploit contenuto in una pagina Web e Safari. Ad abbattere Internet Explorer 8 e Windows 7 ci è riuscito invece l’olandese Peter Vreugdenhil con un attacco che, tramite le falle del browser, gli ha consentito di bypassare le protezioni ASLR e DEP del sistema operativo. È stato infine lo studente tedesco Nils a sfondare le barriere di Firefox 3 su Windows 7 x64 con un exploit che ha permesso anche a lui di aggirare ASLR e DEP.

L’unico browser a resistere agli attacchi è stato Google Chrome 4. Secondo gli esperti questa sua invulnerabilità è tutto merito della sua architettura basata su sandbox, che impedisce l’esecuzione di codice che possa modificare il sistema o accedere a dati sensibili.