Amaya Toman Hakeri White Hat-a otkrili su dvije sigurnosne greške u Safari pretraživaču na sigurnosnoj konferenciji u Vancouveru. Jedan od njih je čak u stanju da podesi svoje dozvole do te mere da preuzme potpunu kontrolu nad vašim Mac-om. Prvi od otkrivenih grešaka mogao je napustiti sandbox - virtuelnu sigurnosnu mjeru koja omogućava aplikacijama pristup samo svojim vlastitim i sistemskim podacima.
Takmičenje je započeo tim Fluoroacetate, čiji su članovi bili Amat Cama i Richard Zhu. Tim je posebno ciljao Safari web pretraživač, uspješno ga napao i napustio sandbox. Cijela operacija trajala je gotovo cijelo vrijeme predviđeno za tim. Kod je bio uspješan tek drugi put, a pokazivanje greške je zaradilo timu Fluoroacetate $55K i 5 poena za titulu Master of Pwn.
Druga greška je otkrila dozvoljen pristup root-u i kernelu na Mac-u. Bug je demonstrirao phoenhex & qwerty tim. Dok su pregledavali vlastitu web stranicu, članovi tima uspjeli su aktivirati JIT bug nakon čega je uslijedio niz zadataka koji su doveli do potpunog napada sistema. Apple je znao za jednu od grešaka, ali demonstriranje grešaka je donijelo učesnicima 45 dolara i 4 boda za titulu Master of Pwn.
Organizator konferencije je Trend Micro pod zastavom svoje inicijative Zero Day (ZDI). Ovaj program je kreiran da ohrabri hakere da privatno prijave ranjivosti direktno kompanijama umjesto da ih prodaju pogrešnim ljudima. Finansijske nagrade, priznanja i titule trebaju biti motivacija za hakere.
Zainteresovani šalju potrebne informacije direktno u ZDI, koji prikuplja potrebne podatke o provajderu. Istraživači direktno zaposleni u inicijativi će zatim provjeriti podražaje u posebnim laboratorijima za testiranje, a zatim će otkriću ponuditi nagradu. Plaća se odmah po odobrenju. Tokom prvog dana, ZDI je isplatio više od 240 dolara stručnjacima.
Safari je uobičajena ulazna tačka za hakere. Na prošlogodišnjoj konferenciji, na primjer, pretraživač je korišten za preuzimanje kontrole nad Touch Bar-om na MacBook Pro-u, a istog dana su učesnici događaja demonstrirali druge napade zasnovane na pretraživaču.
Izvor: ZDI
