Um iPhone, o Safari a correr sobre Snow Leopard, o Internet Explorer 8 e o Firefox, ambos em ambiente Windows 7, foram os alvos dos ataques que ditaram os vencedores de primeiro dia do concurso internacional de hacking Pwn20wn, que decorre em Vancouver, no Canadá, inserido na conferência sobre segurança CanSecWest.

Cem mil dólares é quanto a organização despende em prémios para os mais rápidos a provar que, afinal de contas, não há sistemas invioláveis. As falhas de segurança são depois reportadas às empresas responsáveis pelo software, para que sejam desenvolvidas correcções.

A dupla de especialistas em segurança Ralf Philipp Weinmann, da Universidade do Luxemburgo, e Vincenzo Lozzo, da empresa alemã Zynamics, “hackaram” o iPhone e levaram para casa 15 mil dólares.

O exploit foi desenvolvido em cerca de duas semanas e destinava-se a "roubar" as informações armazenadas na base de dados de mensagens SMS do smartphone da Apple. Para concretizarem o ataque, o telefone foi utilizado para aceder a um site com o código malicioso que é executado e carrega os dados dos SMS para o servidor controlado pelos hackers, explicou Ralf Philipp Weinmann, citado pela CNet.

Os responsáveis pelo ataque disseram também que embora este tenha sido concebido para aceder apenas aos SMS - incluindo os já apagados - o mesmo sistema poderia ter sido utilizado para aceder a contactos, fotografias e outras informações contidas num iPhone, sem que o seu utilizador desse conta do sucedido.

O iPhone não foi o único equipamento da Apple a ser "testado". Charlie Miller, analista de segurança na Independent Security Evaluaters, conseguiu controlar um MacBook Pro, com o sistema operativo Snow Leopard, através do Safari. Embora se tenha recusado a detalhar o procedimento utilizado, avançou que a segurança do computador ficou comprometida depois de uma visita a um site contendo o código malicioso.

A proeza valeu-lhe 10 mil dólares. Charlie Miller já mo ano passado tinha ganho 5 mil dólares ao explorar uma falha no browser da Apple e em 2008 conseguiu “hackar” um MacBook Air, que lhe valeu um prémio de 10 mil dólares.

O holandês Peter Vreugdenhill, aproveitou a sua estreia no evento e duas vulnerabilidades no Internet Explorer 8, instalado num PC com o mais recente sistema operativo da Microsoft, para acrescentar 10 mil dólares à conta bancária.

O ataque em quatro fases envolvia fazer o bypass ao ASLR (Address Space Layout Randomization) e ludibriar o DEP (Data Execution Prevention), concebidos para travar ataques ao browser da Microsoft. À semelhança dos casos anteriores, o código malicioso que permitiu o sucesso da operação foi executado durante uma visita a um site.

O mesmo Windows 7 serviu de plataforma ao trabalho - e recompensa no valor de 10 mil dólares - do hacker que se identificou apenas como Nils e escolheu o Firefox como porta de entrada para a máquina. O funcionário da britânica MWR InfoSecurity explorou uma vulnerabilidade que corrompe a memória e ainda o ASLR e o DEP.