Amaja Toman Hekerji White Hat so na varnostni konferenci v Vancouvru odkrili dve varnostni napaki v brskalniku Safari. Eden od njih je sposoben celo prilagoditi svoja dovoljenja do te mere, da prevzame popoln nadzor nad vašim Macom. Prvi od odkritih hroščev je lahko zapustil peskovnik – virtualni varnostni ukrep, ki aplikacijam omogoča dostop samo do svojih in sistemskih podatkov.
Tekmovanje je začela ekipa Fluoroacetate, katere člana sta bila Amat Cama in Richard Zhu. Ekipa je posebej ciljala na spletni brskalnik Safari, ga uspešno napadla in zapustila peskovnik. Celotna operacija je ekipi vzela skoraj ves predvideni čas. Koda je bila uspešna le drugič in prikaz hrošča je ekipi Fluoroacetate prinesel 55 $ in 5 točk za naslov Master of Pwn.
Druga napaka je razkrila dovoljen korenski dostop in dostop do jedra na Macu. Napako je pokazala ekipa phoenhex & qwerty. Med brskanjem po svojem spletnem mestu je članom ekipe uspelo aktivirati hrošča JIT, ki mu je sledila vrsta nalog, ki so vodile do popolnega napada na sistem. Apple je vedel za enega od hroščev, vendar je demonstracija hroščev udeležencem prinesla 45 $ in 4 točke proti naslovu Master of Pwn.
Organizator konference je Trend Micro pod okriljem svoje pobude Zero Day (ZDI). Ta program je bil ustvarjen za spodbujanje hekerjev, da zasebno poročajo o ranljivostih neposredno podjetjem, namesto da jih prodajajo napačnim ljudem. Finančne nagrade, priznanja in naslovi naj bodo motivacija za hekerje.
Interesenti posredujejo potrebne podatke neposredno ZDI, ki zbira potrebne podatke o ponudniku. Raziskovalci, zaposleni neposredno v iniciativi, bodo dražljaje nato preverili v posebnih laboratorijih za testiranje in nato odkritelju ponudili nagrado. Izplača se takoj po odobritvi. V prvem dnevu je ZDI strokovnjakom izplačal več kot 240 dolarjev.
Safari je običajna vstopna točka za hekerje. Na lanski konferenci je bil na primer brskalnik uporabljen za prevzem nadzora nad vrstico na dotik na MacBooku Pro, istega dne pa so udeleženci dogodka prikazali druge napade, ki temeljijo na brskalniku.
Vir: ZDI
