MBE

A invasão aconteceu dia 20/04 na conferência CanSecWest 2007 que aconteceu em Vancouver. Shane Macaulay e Dino Dai Zovi usaram uma vulnerabilidade do Safari do tipo “zero-day”, ou seja, sequer conhecida e obviamente sem correção disponível. Através de um site malicioso, eles usaram um código em Javascript e ganharam acesso em nível de usuário no Mac OS X. O concurso ainda possuía um segundo MacBook Pro que deveria ser invadido com permissões de root, mas sem sucesso dessa vez.

A Apple recusou-se a comentar o caso e apenas deu a resposta padrão de que “leva muito a sério a segurança e sempre detecta tais falhas antes das mesmas afetarem os usuários”.

Eu sempre disse que não há sistema totalmente seguro e perfeito e que mais dia menos dia o Mac OS X começaria a se tornar alvo de ataques e despertar a cobiça de crakers ávidos por invadir um sistema que de fato seja um desafio que valha a pena.

Moral da história:

1- Que a Apple de fato leve a sério a segurança do Mac OS X e, sem salto alto, disponibilize o quanto antes um security update que corrija essa falha.

2- Que os usuários (radicais) de Mac tenham consciência de que por mais seguro que o Mac OS X seja, ele não é perfeito e, portanto, merece atenção na segurança também.

3- E por fim, que os usuários (radicais) de Windows não se iludam achando que de um dia para o outro o Mac OS X virou uma “peneira” e o Windows um exemplo de segurança a ser seguido…