Амаја Томан Хакерите на White Hat открија два безбедносни пропусти во прелистувачот Safari на безбедносна конференција во Ванкувер. Еден од нив дури може да ги измени своите дозволи до тој степен да преземе целосна контрола над вашиот Mac. Првата од откриените грешки беше во можност да го напушти песокот - виртуелна безбедносна мерка која им овозможува на апликациите да пристапат само до сопствените и системските податоци.
Натпреварот го започна тимот на Флуороацетат, чии членови беа Амат Кама и Ричард Жу. Тимот конкретно го таргетираше веб-прелистувачот Safari, успешно го нападна и го напушти песокот. Целата операција го одзеде речиси целиот одреден временски рок за тимот. Кодот беше успешен само по втор пат, а прикажувањето на бубачката му заработи на Team Fluoroacetate $55K и 5 поени кон титулата Master of Pwn.
Втората грешка откри дозволен пристап до root и кернел на Mac. Грешката беше демонстрирана од тимот на phoenhex & qwerty. Додека ја прелистуваа сопствената веб-страница, членовите на тимот успеаја да активираат бубачка JIT проследена со низа задачи што водеа до целосен напад на системот. Apple знаеше за една од грешките, но демонстрацијата на грешките им донесе на учесниците 45 долари и 4 поени за титулата Master of Pwn.
Организатор на конференцијата е Trend Micro под знамето на нејзината иницијатива Zero Day (ZDI). Оваа програма е создадена за да ги поттикне хакерите приватно да ги пријавуваат пропустите директно до компаниите наместо да ги продаваат на погрешни луѓе. Финансиските награди, признанија и титули треба да бидат мотивација за хакерите.
Заинтересираните страни ги испраќаат потребните информации директно до ZDI, кој ги собира потребните податоци за давателот. Истражувачите вработени директно од иницијативата потоа ќе ги проверат стимулите во специјални лаборатории за тестирање и потоа ќе му понудат награда на откривачот. Се плаќа веднаш по неговото одобрување. Во текот на првиот ден, ЗДИ им исплати над 240 долари на експерти.
Сафари е вообичаена влезна точка за хакерите. На минатогодишната конференција, на пример, прелистувачот беше искористен за преземање на контролата на лентата за допир на MacBook Pro, а истиот ден, присутните демонстрираа други напади базирани на прелистувачи.
Извор: ЗДИ
