Hack a Mac - MacBook via Safari gehackt

Dass über einen Browser, schädlicher Code auf einen Computer eingeschleust wird, ist man eher von Windows gewöhnt. Bei näherer Betrachtung, erweisen sich jedoch auch vermeintlich "sichere" Betriebssysteme als ziemlich löchrig: Ein Expertenteam hat vor zwei Tagen ein MacBook über ein Safari-Exploit gehackt.

Die Veranstalter der CanSecWest in Vancouver, einer Konferenz zum Thema Computer-Sicherheit, hatten einen Wettbewerb für das Hacken von Apple-Rechnern ausgerufen: Beim "Hack a Mac" konnten Interessierte versuchen, ein MacBook mittels Ansurfen einer Webseite die schadhaften Code enthält, den entsprechende Code auf das MacBook einzuschleusen und somit zu hacken. Im Falle von erfolgreichen Hacks, gab es zwei MacBooks Pro zu gewinnen; sollte bei einem erfolgreichen Hack, eine bis zu diesem Zeitpunkt unbekannte Sicherheitslücke offenbart werden, gab es zusätzlich 10.000 Dollar zu gewinnen.

Ein Team, bestehend aus dem Software-Spezialisten Shane Macaulay und dem Sicherheitsexperten Dai Zovi von Matasano Security, gelang der Coup, sie gewannen sowohl das ausgelobte MacBook, wie auch den "Innovationspreis" in Höhe von 10.000 US-Dollar. Dai Zovi benötigte lediglich neun Stunden, um einen Exploit zu schreiben und auf einer entsprechend präparierten Webseite zu platzieren, der über den Safari-Browser auf das MacBook eingeschleust wurde.
Die Geschichte ist umso pikanter, als Apple - pünktlich zum Beginn der Sicherheitskonferenz - ein Security-Update (das vierte dieser Art in 2007) released hatte. Apple lehnte einen Kommentar zum Hack aus Vancouver mit der Standardfloskel ab

Ruft man sich in diesem Zusammenhang die neueste Studie aus dem Hause Symantec und die völlig realitätsfremden Behauptungen selbsterklärter "Individualisten" in Erinnerung, so muss man feststellen, Betriebssystem- und Internet-Sicherheit bleibt weiterhin eine dringliche Herausforderung und zwar für alle beteiligten Hersteller.