Amaya Toman Hakerat e White Hat zbuluan dy defekte sigurie në shfletuesin Safari në një konferencë sigurie në Vankuver. Njëri prej tyre madje është në gjendje të shkulë lejet e tij deri në atë pikë sa të marrë kontrollin e plotë të Mac-it tuaj. E para nga gabimet e zbuluara ishte në gjendje të largohej nga sandbox - një masë sigurie virtuale që lejon aplikacionet të aksesojnë vetëm të dhënat e tyre dhe të sistemit.
Konkursi u nis nga ekipi Fluoroacetate, anëtarët e të cilit ishin Amat Cama dhe Richard Zhu. Ekipi synoi në mënyrë specifike shfletuesin e internetit Safari, e sulmoi me sukses dhe u largua nga sandbox. I gjithë operacioni mori pothuajse të gjithë afatin kohor të caktuar për ekipin. Kodi ishte i suksesshëm vetëm herën e dytë dhe shfaqja e defektit fitoi Team Fluoroacetate $55K dhe 5 pikë drejt titullit Master of Pwn.
Defekti i dytë zbuloi qasjen e lejuar në rrënjë dhe kernel në një Mac. Defekti u demonstrua nga ekipi i phoenhex & qwerty. Ndërsa shfletonin uebsajtin e tyre, anëtarët e ekipit arritën të aktivizonin një gabim JIT të ndjekur nga një sërë detyrash që çuan në një sulm të plotë të sistemit. Apple dinte për një nga gabimet, por demonstrimi i gabimeve u fitoi pjesëmarrësve 45 dollarë dhe 4 pikë drejt titullit Master of Pwn.
Organizatori i konferencës është Trend Micro nën flamurin e nismës së saj Zero Day (ZDI). Ky program u krijua për të inkurajuar hakerët që të raportojnë privatisht dobësitë drejtpërdrejt te kompanitë në vend që t'ua shesin ato njerëzve të gabuar. Shpërblimet financiare, mirënjohjet dhe titujt duhet të jenë motivimi për hakerat.
Të interesuarit i dërgojnë informacionet e nevojshme drejtpërdrejt ZDI-së, e cila mbledh të dhënat e nevojshme për ofruesin. Studiuesit e punësuar drejtpërdrejt nga iniciativa do të kontrollojnë më pas stimujt në laboratorë të veçantë testimi dhe më pas do t'i ofrojnë zbuluesit një shpërblim. Paguhet menjëherë pas miratimit të tij. Gjatë ditës së parë, ZDI pagoi mbi 240 dollarë për ekspertët.
Safari është një pikë e zakonshme hyrëse për hakerat. Në konferencën e vitit të kaluar, për shembull, shfletuesi u përdor për të marrë kontrollin e Touch Bar-it në një MacBook Pro dhe në të njëjtën ditë, të pranishmit në ngjarje demonstruan sulme të tjera të bazuara në shfletues.
burimi: ZDI
