Amaya Tomanová White Hat hackeri na bezpečnostnej konferencii vo Vancouveri objavili dve bezpečnostné chyby v prehliadači Safari. Jedna z nich je dokonca schopná vyladiť svoje oprávnenia až do bodu kompletného prevzatia kontroly nad Macom. Prvá z objavených chýb bola schopná opustiť sandbox – virtuálne bezpečnostné opatrenia, vďaka ktorému majú aplikácie prístup iba k svojim vlastným a systémovým dátam.
Súťaž zahájil tím Fluoroacetate, ktorého členmi boli Amat Cama a Richard Zhu. Tím sa zameral práve na webový prehliadač Safari, úspešne ho napadol a opustil sandbox. Celá operácia zabrala tímu takmer celý vyhradený časový limit. Kód bol úspešný až druhýkrát a predvedenie chyby zarobilo tímu Fluoroacetate 55 tisíc dolárov a 5 bodov na získanie titulu Master of Pwn.
Druhá odhalená chyba umožňovala získať prístup k rootu aj kernelu na Macu. Chybu demonštroval tím phoenhex & qwerty. Pri prezeraní vlastnej webovej stránky sa členom tímu podarilo aktivovať chybu JIT nasledovanú sériou úloh vedúcou ku kompletnému napadnutiu systému. Apple o jednej z chýb vedel, účastníkom však predvedenie chýb zarobilo 45-tisíc dolárov a 4 body na získanie titulu Master of Pwn.
Usporiadateľom konferencie je Trend Micro pod hlavičkou svojej iniciatívy Zero Day (ZDI). Tento program bol vytvorený na účely podpory hackerov v súkromnom nahlasovaní zraniteľností priamo spoločnostiam namiesto ich predaja nesprávnym osobám. Motiváciou sa pre hackerov majú stať práve finančné odmeny, poďakovanie a tituly.
Záujemcovia odosielajú potrebné informácie priamo ZDI, ktoré nazhromaždia potrebné dáta o poskytovateľovi. Výskumní pracovníci, zamestnaní priamo v iniciatíve, potom podnety preveria v špeciálnych testovacích laboratóriách a následne ponúknu objaviteľovi odmenu. Tá je po jej odsúhlasení okamžite vyplatená. Počas prvého dňa vyplatila ZDI expertom vyše 240-tisíc dolárov.
Prehliadač Safari predstavuje pre hackerov vcelku bežný prístupový bod. Na minuloročnej konferencii bol prehliadač napríklad využitý na prevzatie kontroly nad Touch Barom pri MacBooku Pro, av ten istý deň účastníci akcie predviedli ďalšie útoky, vedené cez prehliadač.
Zdroj: The MÚR
