Sull'exploit PDF e kernel dell'iPhone

Wed, 04 Aug 2010 00:00:00 +0000

Come la maggior parte di voi già sa, ci sono due vulnerabilità aperte e critiche nelle versioni di iPhone OS dalla 3.x in su. La prima risiede nel componente Compact Font Format del renderer PDF, la seconda è un errore nel kernel che permette agli attaccanti di bypassare la sandbox (SeatBelt) dentro cui le applicazioni vengono eseguite sull’iPhone.

Le due vulnerabilità sono state scoperte da @comex, @chpwn e altre persone.

Solo poche settimane dopo il difetto di design .lnk su Windows (ragazzi, usate LoadLibraryW per caricare una dannata icona!), queste vulnerabilità di iPhone OS sono ancora più interessanti, per il modo in cui il rilascio viene gestito dalla community e dal vendor.

Ho passato 3 ore ieri notte a cercare informazioni dettagliate sul bug, e a parte confusi (e propagandistici) blog post, le uniche briciole di informazione sono in questo tweet e nell’exploit PDF vero e proprio su jailbreakme.com. Dove sono i post sulle security mailing list? Dov’è il CVE? Persino il CERT ancora non dice niente su questa vulnerabilità.

C’è qualcosa di terribilmente sbagliato in corso: il gioco del gatto col topo che porta i ricercatori dell’iphone-dev team a non divulgare nessuna delle vulnerabilità che trovano è diventato molto pericoloso per gli utenti finali: un exploit che permette l’esecuzione di codice remoto e l’uscita dalla jail senza nessuna interazione da parte dell’utente, veicolato tramite qualcosa che si considera “sicuro” (un file PDF) è quello che si chiama una falla critica; mentre l’exploit che la sfrutta si chiama 0-day. È la prima volta nella mia vita che vedo un 0-day pacchettizzato e distribuito esplicitamente tramite un sito web.

Workshop Girl Geek Dinners @Apple Store, 16 maggio 2009, Roma

Mon, 18 May 2009 15:00:00 +0000

«Donne! E' arrivato l'arrotino!» – A parte gli scherzi ;) l'Apple Store italiano insieme a Girl Geek Dinners Roma ha organizzato il 16 maggio 2009 un workshop sul mobile lifestyle (incentrato sull'iPhone, ovviamente).

Partiamo dall'inizio: cosa sono le Girl Geek Dinners? Linda ha spiegato al pubblico (circa 20 persone) che un geek e' una persona appassionata di tecnologia in senso ampio: il GGD e' un gruppo dedicato ad aggregare donne interessate a internet, ai nuovi media e agli stili di vita tecnologici. Le donne sono spesso sottovalutate nelle comunita' geek, e questo imbarazzante cliche' ha generato molte discussioni in passato, e la questione e' ancora irrisolta (secondo me).

Il gruppo italiano GGD e' nato nel 2007 a Milano, poi e' arrivato a Roma nel 2008, ed e' presente anche a Bologna e nelle Marche e in Emilia-Romagna.

Quindi, il gruppo GGD cerca di generare una “massa critica” di donne geek, per abolire lo stereotipo che “programmatori / utenti esperti” siano solo uomini: negli eventi GGD i ragazzi ascoltano e le ragazze parlano, poi bloggano, si scambiano biglietti da visita (e chiavi PGP, immagino ;) e in generale cercano di valorizzare il potere e le competenze delle donne nel campo dell'industria informatica. Il networking e un tuffo nei social media sono il modo piu' efficiente al giorno d'oggi per raggiungere un grande pubblico e costruire rapidamente la suddetta massa critica: ecco perche' l'evento GGD era incentrato sulle applicazioni mobile social e di produttivita' in generale. Presentato da due Apple Trainer ufficiali (Simona e Riccardo), il workshop e' iniziato alle 11:30 e e' durato circa un'ora.

Iphone on Marcello Barnaba

Sull'exploit PDF e kernel dell'iPhone

Workshop Girl Geek Dinners @Apple Store, 16 maggio 2009, Roma