Miller: “Safari caerá el primero en el PWN2OWN de este año.”

Charlie Miller, ganador de la pasada edición del concurso de hackers PWN2OWN lo tiene claro, Safari será el primero en caer… Cita su gran funcionalidad y su falta de defensas viables como factores clave para la existencia de vulnerabilidades en un navegador web.

“Es un objetivo fácil“, dijo Charlie Miller, que se llevó el año pasado el primer premio de 10.000 dólares por irrumpir en un portátil de Apple en cuestión de minutos. La tercera edición del PWN2OWN está prevista celebrarse a finales de este mes,en Vancouver.

“Es el navegador más fácil de hackear“, dijo Miller.

3Com Inc.’s TippingPoint, patrocinador del PWN2OWN, pagará 5000 dólares por cada error que sea explotado con éxito en Safari, Internet Explorer 8, Firefox y Chrome. El IE8 y Chrome se ejecutarán en un portátil de Sony que montará Windows 7, el futuro sistema operativo de Microsoft. Safari se ejecutará en un MacBook, y Firefox tendrá presencia tanto en el portátil de Sony como en el de Apple.

“Los productos de Apple son realmente buenos para el usuario, y Safari está diseñado para manejar cualquier cosa, incluyendo todo tipo de formatos de archivo“, dijo Miller. “Cuantas más funcionabilidades mayor posibilidad de error. El software, cuanto más complejo, más inseguro es.”

Otro factor que contribuye a que Safari sea el objetivo más jugoso según Miller es el sistema operativo de Apple, el Mac OS X, ya que carece de defensas viables que si existen en Windows Vista y en Windows 7.

Según las predicciones de Miller, IE8 y Firefox saldrán ilesos, y añadió: “Lo hacen tan dificil que, para mí, 5.000 dólares no es motivación suficiente para tratar de romper su seguridad“. En cuanto a Chrome dijo que no sabía suficiente sobre el navegador como para predecir nada. Su instinto, sin embargo, es que el navegador de Google también sobrevivirá.

Miller también está preparado para explotar vulnerabilidades en las versiones móviles de los navegadores. Fue el primero en descubrir un error en el sistema operativo Android de Google. En la segunda parte del concurso, los navegadores para smartphone que se enfrentarán en la nueva edición del PWN2OWN serán Windows Mobile, Android, Symbian que se ejecutarán en iPhone y Blackberry. 3Com pagará el doble, 10.000 dólares por cada error explotado durante el concurso.

“Voy a estar tratando de hackear Safar“, dijo Miller. “Si me dicen que es fácil, tengo que probar, ¿no?. Pero yo también quiero mostrar mis habilidades móviles.”

Miller niega que se centrará en los navegadores para smartphone. Es probable, sin embargo, que de hacerlo, atacará al iPhone. Miller también fue uno de los tres hackers que encontraron la primera vulnerabilidad en el iPhone semanas después de que el dispositivo debutara en el 2007.

Miller no quiso hablar sobre las vulnerabilidades que tiene en mente o está investigando.

“Lo bueno del PWN2OWN es que no se trata solo de encontrar exploits, sino de encontrar errores que puedan ser explotados y, a continuación, llegar a hackearlo.”

Miller trabaja como principal analista en Independent Security Evaluators LLC, una consultoría de seguridad, y dijo que espera con interés el concurso, que arrancará el 18 de Marzo. “Tengo que defender mi supremacía, ¿no?”

Puedes ver un vídeo sobre Safari 4 beta aquí