Amaya Toman White Hati häkkerid avastasid Vancouveris toimunud turvakonverentsil Safari brauseris kaks turvaviga. Üks neist suudab isegi oma õigusi kohandada nii, et ta võtab teie Maci üle täieliku kontrolli. Esimene avastatud vigadest suutis liivakastist lahkuda – see on virtuaalne turvameede, mis võimaldab rakendustel ligi pääseda ainult enda ja süsteemi andmetele.
Võistlust alustas Fluoroacetate meeskond, kuhu kuulusid Amat Cama ja Richard Zhu. Meeskond sihtis konkreetselt Safari veebibrauserit, ründas seda edukalt ja lahkus liivakastist. Kogu operatsioon võttis peaaegu kogu meeskonnale määratud aja. Kood õnnestus alles teisel korral ja vea näitamine teenis Team Fluoroacetate $55 5 ja XNUMX punkti Master of Pwn tiitli poole.
Teine viga paljastas Macis lubatud juur- ja tuumajuurdepääsu. Viga demonstreeris phoenhex & qwerty meeskond. Oma veebisaiti sirvides suutsid meeskonnaliikmed aktiveerida JIT-i vea, millele järgnes rida ülesandeid, mis viisid täieliku süsteemirünnakuni. Apple teadis ühest veast, kuid vigade demonstreerimine teenis osalejatele 45 4 dollarit ja XNUMX punkti Master of Pwn tiitli saamiseks.
Konverentsi korraldaja on oma nullpäeva algatuse (ZDI) lipu all asuv Trend Micro. See programm loodi selleks, et julgustada häkkereid turvaaukudest otse ettevõtetele teatama, selle asemel, et neid valedele inimestele müüa. Häkkerite motivatsiooniks peaksid olema rahalised hüved, tunnustused ja tiitlid.
Huvilised saadavad vajaliku info otse ZDI-le, kes kogub vajalikud andmed pakkuja kohta. Algatuse otseselt kaasatud teadlased kontrollivad seejärel stiimuleid spetsiaalsetes katselaborites ja pakuvad seejärel avastajale tasu. See makstakse kohe pärast selle kinnitamist. Esimese päeva jooksul maksis ZDI ekspertidele välja üle 240 XNUMX dollari.
Safari on häkkerite jaoks tavaline sisenemispunkt. Näiteks eelmise aasta konverentsil kasutati brauserit MacBook Pro puuteriba juhtimiseks ja samal päeval demonstreerisid üritusel osalejad muid brauseripõhiseid rünnakuid.
Allikas: ZDI
