Amaya Toman White Hat-hackers ontdekten tijdens een beveiligingsconferentie in Vancouver twee beveiligingsfouten in de Safari-browser. Eén van hen kan zelfs de machtigingen zo aanpassen dat hij de volledige controle over je Mac overneemt. De eerste van de ontdekte bugs was in staat de sandbox te verlaten - een virtuele beveiligingsmaatregel waarmee applicaties alleen toegang hebben tot hun eigen gegevens en systeemgegevens.
De wedstrijd werd gestart door het Fluoroacetaat-team, waarvan de leden Amat Cama en Richard Zhu waren. Het team richtte zich specifiek op de Safari-webbrowser, viel deze met succes aan en verliet de sandbox. De hele operatie nam bijna de volledige toegewezen tijdslimiet voor het team in beslag. De code was pas de tweede keer succesvol en het tonen van de bug leverde Team Fluoroacetaat $ 55 en 5 punten op voor de Master of Pwn-titel.
De tweede bug die aan het licht kwam, maakte root- en kerneltoegang op een Mac mogelijk. De bug werd gedemonstreerd door het phoenhex & qwerty-team. Tijdens het surfen op hun eigen website slaagden teamleden erin een JIT-bug te activeren, gevolgd door een reeks taken die leidden tot een volledige systeemaanval. Apple was op de hoogte van een van de bugs, maar het demonstreren van de bugs leverde de deelnemers $ 45 op en 4 punten voor de Master of Pwn-titel.
De organisator van de conferentie is Trend Micro onder de vlag van zijn Zero Day-initiatief (ZDI). Dit programma is gemaakt om hackers aan te moedigen kwetsbaarheden privé rechtstreeks aan bedrijven te melden in plaats van ze aan de verkeerde mensen te verkopen. Financiële beloningen, erkenningen en titels zouden de motivatie voor hackers moeten zijn.
Geïnteresseerden sturen de benodigde informatie rechtstreeks naar ZDI, die de benodigde gegevens over de aanbieder verzamelt. Onderzoekers die rechtstreeks bij het initiatief werken, zullen de stimuli vervolgens in speciale testlaboratoria controleren en de ontdekker vervolgens een beloning aanbieden. Het wordt onmiddellijk na goedkeuring uitbetaald. Tijdens de eerste dag betaalde ZDI ruim 240 dollar uit aan experts.
Safari is een veelgebruikt toegangspunt voor hackers. Op de conferentie van vorig jaar werd de browser bijvoorbeeld gebruikt om de Touch Bar op een MacBook Pro over te nemen, en op dezelfde dag demonstreerden deelnemers aan het evenement andere browsergebaseerde aanvallen.
Bron: De ZDI
