Amaya Toman White Hat hakeri otkrili su dva sigurnosna propusta u pregledniku Safari na sigurnosnoj konferenciji u Vancouveru. Jedan od njih čak je u stanju prilagoditi svoja dopuštenja do te mjere da preuzme potpunu kontrolu nad vašim Mac računalom. Prvi od otkrivenih bugova uspio je napustiti sandbox - virtualnu sigurnosnu mjeru koja aplikacijama omogućuje pristup samo vlastitim podacima i podacima sustava.
Natjecanje je započeo tim Fluoroacetate, čiji su članovi bili Amat Cama i Richard Zhu. Tim je posebno ciljao web preglednik Safari, uspješno ga napao i napustio sandbox. Cjelokupna operacija trajala je gotovo cijelo vrijeme predviđeno za tim. Kod je bio uspješan tek drugi put, a pokazivanje buga donijelo je timu Fluoroacetate 55 tisuća dolara i 5 bodova prema tituli Master of Pwn.
Drugi bug otkrio je dopušteni root pristup i pristup jezgri na Macu. Bug je demonstrirao phoenhex & qwerty tim. Dok su pregledavali vlastitu web stranicu, članovi tima uspjeli su pokrenuti JIT bug nakon čega je uslijedio niz zadataka koji su doveli do potpunog napada na sustav. Apple je znao za jednu od grešaka, ali demonstracija grešaka donijela je sudionicima 45 dolara i 4 boda prema tituli Master of Pwn.
Organizator konferencije je Trend Micro pod zastavom svoje inicijative Zero Day (ZDI). Ovaj program je stvoren kako bi potaknuo hakere da privatno prijave ranjivosti izravno tvrtkama umjesto da ih prodaju pogrešnim ljudima. Financijske nagrade, priznanja i titule trebaju postati motivacija za hakere.
Zainteresirane strane šalju potrebne podatke izravno ZDI-u, koji prikuplja potrebne podatke o davatelju. Istraživači izravno zaposleni u inicijativi zatim će provjeriti podražaje u posebnim laboratorijima za testiranje, a zatim ponuditi nagradu otkrivaču. Isplaćuje se odmah nakon odobrenja. Tijekom prvog dana ZDI je stručnjacima isplatio više od 240 dolara.
Safari je uobičajena ulazna točka za hakere. Na prošlogodišnjoj konferenciji, na primjer, preglednik je korišten za preuzimanje kontrole nad Touch Barom na MacBooku Pro, a istog su dana sudionici događaja demonstrirali druge napade temeljene na pregledniku.
Izvor: ZDI
