MacBook Air blev hacket på to minutter

Så er den gal igen, en MacBook er blevet hacket, og modsat sidste gang, hvor hackere havde snydt sig ind via tredjepartssoftware på BlackHat-konferencen, så er det nye hack sandsyligvis mere korrekt.

Et team af sikkerhedsfolk fik nemlig til opgave at hacke sig ind i en MacBook Air med Mac OS X 10.5 Leopard. Det skete ved konkurrencen Pwn to Own fornylig.

Selvom det kun tog sikkerhedsekperterne to minutter at hacke sig ind i MacBook Air, så skete det dog først på andendagen i konkurrencen, da man udvidede konkurrencen fra kun at gælde interne netværk, til også at inkludere web. Forud for det hurtige hack var der også gået en del tid med at forberede en særlig angrebskode, som blev lagt på en særlig hjemmeside. Dommerne blev herefter lokket ind på siden og det lykkedes sikkerhedseksperterne at hacke Safari og hente en fil på den berørte MacBook Air på ganske få minutter.

De tre dygtige hackere, Charlie Miller, Jake Honoroff og Mark Daniel fra Independent Security Evaluators, blev derefter bedt om at underskrive en nondisclosure agreement, indtil folkene som står bag Pwn to Own, kan meddele den nye bug til Apple.

Det vides derfor ikke konkret hvordan de tre hackere skaffede sig adgang, kun at det altså skete via Safari.

Mac var lettest at hacke

Faktisk var MacBook Air den letteste computer at hacke sig ind i. Hackerne kunne vælge mellem en Sony Vaio, Fujitsu U810 og en MacBook Air, som de i øvrigt kunne beholde efterfølgende hvis de kunne hacke sig ind, samt en pris på 10.000 dollars. Kravet var at man skulle finde og anvende et hidtil uudnyttet "0day" hul for at skaffe sig adgang og hente en fil, og det var altså nemmest på MacBook Air via Safari. Det betyder selvfølgelig også, at fejlen kan udnyttes via Safari på andre maskiner.

Sidste års vinder, Dino Dai Zovi,var også med i år, men kun som tilskuer, da han syntes andre burde vinde i år. Dino Dai Zovi hackede sidste år QuickTime.

Apple skulle være i gang med at lukke sikkerhedshullet.