Amaya Toman Οι χάκερ White Hat ανακάλυψαν δύο ελαττώματα ασφαλείας στο πρόγραμμα περιήγησης Safari σε μια διάσκεψη ασφαλείας στο Βανκούβερ. Ένα από αυτά μπορεί ακόμη και να τροποποιήσει τα άδειά του σε σημείο να πάρει τον πλήρη έλεγχο του Mac σας. Το πρώτο από τα σφάλματα που ανακαλύφθηκαν ήταν σε θέση να εγκαταλείψει το sandbox - ένα εικονικό μέτρο ασφάλειας που επιτρέπει στις εφαρμογές να έχουν πρόσβαση μόνο στα δικά τους δεδομένα και στα δεδομένα του συστήματος.
Ο διαγωνισμός ξεκίνησε από την ομάδα Fluoroacetate, μέλη της οποίας ήταν οι Amat Cama και Richard Zhu. Η ομάδα στόχευσε συγκεκριμένα το πρόγραμμα περιήγησης ιστού Safari, του επιτέθηκε με επιτυχία και έφυγε από το sandbox. Η όλη επιχείρηση πήρε σχεδόν όλο το χρονικό όριο που είχε οριστεί για την ομάδα. Ο κωδικός ήταν επιτυχής μόνο τη δεύτερη φορά και δείχνοντας το σφάλμα κέρδισε η ομάδα Fluoroacetate $55K $ και 5 πόντους για τον τίτλο Master of Pwn.
Το δεύτερο σφάλμα αποκάλυψε ότι επιτρέπεται η πρόσβαση root και πυρήνα σε Mac. Το σφάλμα επιδείχθηκε από την ομάδα phoenhex & qwerty. Κατά την περιήγησή τους στον ιστότοπό τους, τα μέλη της ομάδας κατάφεραν να ενεργοποιήσουν ένα σφάλμα JIT ακολουθούμενο από μια σειρά εργασιών που οδήγησαν σε μια πλήρη επίθεση στο σύστημα. Η Apple γνώριζε για ένα από τα σφάλματα, αλλά η επίδειξη των σφαλμάτων κέρδισε στους συμμετέχοντες 45 $ και 4 βαθμούς για τον τίτλο Master of Pwn.
Διοργανωτής του συνεδρίου είναι η Trend Micro υπό τη σημαία της πρωτοβουλίας Zero Day (ZDI). Αυτό το πρόγραμμα δημιουργήθηκε για να ενθαρρύνει τους χάκερ να αναφέρουν ιδιωτικά ευπάθειες απευθείας σε εταιρείες αντί να τις πουλήσουν σε λάθος άτομα. Οι οικονομικές ανταμοιβές, οι αναγνωρίσεις και οι τίτλοι πρέπει να είναι το κίνητρο για τους χάκερ.
Τα ενδιαφερόμενα μέρη στέλνουν τις απαραίτητες πληροφορίες απευθείας στην ZDI, η οποία συλλέγει τα απαραίτητα δεδομένα για τον πάροχο. Οι ερευνητές που απασχολούνται απευθείας από την πρωτοβουλία θα ελέγξουν στη συνέχεια τα ερεθίσματα σε ειδικά εργαστήρια δοκιμών και στη συνέχεια θα προσφέρουν στον ανακάλυψε μια ανταμοιβή. Καταβάλλεται αμέσως μετά την έγκρισή του. Κατά τη διάρκεια της πρώτης ημέρας, η ZDI πλήρωσε πάνω από 240 δολάρια σε ειδικούς.
Το Safari είναι ένα κοινό σημείο εισόδου για τους χάκερ. Στο περσινό συνέδριο, για παράδειγμα, το πρόγραμμα περιήγησης χρησιμοποιήθηκε για να πάρει τον έλεγχο της γραμμής αφής σε ένα MacBook Pro και την ίδια μέρα, οι συμμετέχοντες στην εκδήλωση επέδειξαν άλλες επιθέσεις που βασίζονται σε πρόγραμμα περιήγησης.
Πηγή: Το ZDI
