セキュリティ研究者のチャーリー・ミラー氏は、バンクーバーで開催されたセキュリティカンファレンスCanSecWestで、Safari経由でMacBookをハッキングすることに成功し、2年連続で最優秀賞を受賞しました。ミラー氏はSafariの脆弱性を悪用し、ユーザーに悪意のあるリンクをクリックさせることでコンピュータを乗っ取ることに成功しました。
ミラー氏(写真)はPWN2OWNコンテストでMacBookに最初に挑戦し、自身が以前に発見・テストした脆弱性を利用してマシンに侵入しました。コンテストは水曜日に開始されてからわずか数分で終了しました。この攻撃により、ミラー氏は5,000ドルの賞金と、ハッキングしたMacBookを手に入れました。2008年のCanSecWestカンファレンスでも、ミラー氏はSafariをハッキングしてMacBookを獲得しましたが、これはカンファレンスの2日目、つまりルールが緩和された後のことでした。
その後、Nils という名の 2 人目のハッカーが別の脆弱性を利用して Safari を悪用し、5,000 ドルを獲得しました (彼は Internet Explorer 8 と Firefox もハッキングして、さらに 10,000 ドルを獲得しました)。
参加者は、Safari、Firefox、Internet Explorer 8、Chrome を攻撃するほか、Blackberry、Android、Nokia/Symbian、Windows Mobile、iPhone など、さまざまなモバイル プラットフォームを攻撃して、1 つのエクスプロイトにつき 10,000 ドルの賞金を獲得するチャンスもあります。
カンファレンスのスポンサー企業の一つであるセキュリティ企業TippingPointは、優勝者全員に脆弱性に関する秘密保持契約(NDA)への署名を求め、その後、バグをベンダーに引き渡してパッチ適用を依頼します。さらに、コンピューターと同様に、優勝者はハッキングされたデバイスと1年間のサービス契約を所有できます(これは素晴らしい戦略です。おめでとうございます!このデバイスのセキュリティを侵害したあなたは、今ならそれを所有できます!)。
木曜日はコンテスト2日目で、ルールが緩和され、Flash、Java、.NET、QuickTimeといった普及技術によるエクスプロイトが許容されます。1日目は、ブラウザにデフォルトでインストールされるソフトウェアによるエクスプロイトのみが許可されていましたが、最新のパッチはすべて適用されていました。
[写真提供: TippingPoint DVLabs]
