Amaya Tomanová White Hat hackeři na bezpečnostní konferenci ve Vancouveru objevili dvě bezpečnostní chyby v prohlížeči Safari. Jedna z nich je dokonce schopná vyladit svá oprávnění až do bodu kompletního převzetí kontroly nad Macem. První z objevených chyb byla schopná opustit sandbox – virtuální bezpečnostní opatření, díky kterému mají aplikace přístup pouze ke svým vlastním a systémovým datům.
Soutěž zahájil tým Fluoroacetate, jehož členy byli Amat Cama a Richard Zhu. Tým se zaměřil právě na webový prohlížeč Safari, úspěšně ho napadl a opustil sandbox. Celá operace zabrala týmu téměř celý vyhrazený časový limit. Kód byl úspěšný až napodruhé a předvedení chyby vydělalo týmu Fluoroacetate 55 tisíc dolarů a 5 bodů k získání titulu Master of Pwn.
Druhá odhalená chyba umožňovala získat přístup k rootu i kernelu na Macu. Chybu demonstroval tým phoenhex & qwerty. Při prohlížení vlastní webové stránky se členům týmu podařilo aktivovat chybu JIT následovanou sérií úloh vedoucí ke kompletnímu napadení systému. Apple o jedné z chyb věděl, účastníkům nicméně předvedení chyb vydělalo 45 tisíc dolarů a 4 body k získání titulu Master of Pwn.
Pořadatelem konference je Trend Micro pod hlavičkou své inciativy Zero Day (ZDI). Tento program byl vytvořen pro účely podpory hackerů v soukromém nahlašování zranitelností přímo společnostem namísto jejich prodeje nesprávným osobám. Motivací se pro hackery mají stát právě finanční odměny, poděkování a tituly.
Zájemci odesílají potřebné informace přímo ZDI, která nashromáždí potřebná data o poskytovateli. Výzkumní pracovníci, zaměstnaní přímo v iniciativě, pak podněty prověří ve speciálních testovacích laboratořích a následně nabídnou objeviteli odměnu. Ta je po jejím odsouhlasení okamžitě vyplacena. Během prvního dne vyplatila ZDI expertům přes 240 tisíc dolarů.
Prohlížeč Safari představuje pro hackery vcelku běžný přístupový bod. Na loňské konferenci byl prohlížeč například využit k převzetí kontroly nad Touch Barem u MacBooku Pro, a v tentýž den účastníci akce předvedli další útoky, vedené přes prohlížeč.
Zdroj: The ZDI
