Apple convida experts em segurança para achar falhas no Mac OS X Lion

A Apple está oferecendo a especialistas em segurança uma cópia do preview para desenvolvedores do Mac OS X 10.7 Lion e pedindo que eles deem um feedback sobre seu novo sistema.

“A Apple me convidou para examinar a prévia para desenvolvedores do Lion”, disse pelo Twitter o autor do livro “The Mac Hacker’s Handbook”, Dino Dai Zovi. “Não poderei comentar sobre ele (o sistema) até o seu lançamento, mas ‘oba’ pelo acesso gratuito!”

O analista da empresa de consultoria Independent Security Evaluators (ISE) e co-autor da obra com Dai Zovi, Charlie Miller, confirmou na semana passada que também recebeu um convite para testar o Lion, cuja prévia para desenvolvedores foi lançada na última quinta-feira pela Apple.

Esse preview do Lion vem com um contrato de confidencialidade (NDA) que evita que Zovi, Miller e outros comentem publicamente sobre o que descobriram. Mas a “maçã” pediu feedback dos pesquisadores e forneceu a eles um endereço de e-mail para informarem vulnerabilidades ou outros problemas, diz Miller.

“Eles nunca fizeram isso antes”, afirmou Miller em uma entrevista na sexta-feira, 25/2. “O fato de eles estarem pensando em contatar (pesquisadores) é um passo positivo, mas se isso irá fazer a diferença, só acreditarei vendo.”

Miller já criticou as práticas de segurança da Apple, tendo afirmado em 2008 que o Mac OS X era um alvo mais fácil na época do que sistemas rivais como Windows ou Linux.

O pesquisador já provou sua afirmação nas últimas três edições do concurso de hack Pwn2Own ao sair com prêmios em dinheiro e notebooks por explorar vulnerabilidades no Mac OS X e no Safari (navegador da Apple). Miller irá “atacar” novamente o Safari e o iPhone no próximo dia 9, durante a edição 2011 do evento.

Outros pesquisadores que não receberam um convite para o preview também falaram sobre suas expectativas sobre melhorias de segurança no futuro sistema para desktops e notebooks da “maçã”.

“Duvido que veremos uma inovação real de segurança no Lion”, afirmou o pesquisador independente de segurança Alexander Sotirov, em sua conta no Twitter. Depois, Sotirov disse em outro tweet direcionado para Miller que “Tenho certeza que veremos melhorias no Lion, talvez até ASLR completo. Mas isso não conta como ‘inovação’ em 2011.”

ASLR, ou “randomização no layout de espaços de endereços”, é uma tecnologia anti-exploração que determina aleatoriamente a posição dos dados na memória com o intuito de tornar mais complicado para que invasores determinem a localização de funções críticas do sistema operacional, e assim dificultar a criação de exploits confiáveis.

O Windows, por exemplo usa um sistema de ASLR, mas o sistema atual da Apple – o Snow Leopard de 2009 – se baseia em ASLR parcial que não randomiza componentes importantes do OS. A Microsoft incluiu ASLR no Windows desde a estreia do Vista em 2007.

Após o lançamento do Snow Leopard em agosto de 2009, Miller afirmou que a Apple tinha perdido o “barco” de segurança ao não implementar a ASLR por completo.

Até o momento, a Apple não anunciou o preço ou data de lançamento para o Lion – dizendo apenas que o sistema estará disponível no terceiro trimestre deste ano.

Via Macworld

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s