Amaya Toman White Hat tölvuþrjótar uppgötvuðu tvo öryggisgalla í Safari vafranum á öryggisráðstefnu í Vancouver. Einn þeirra er jafnvel fær um að fínstilla heimildir sínar að því marki að ná fullri stjórn á Mac þinn. Fyrsta villan sem uppgötvaðist var fær um að yfirgefa sandkassann - sýndaröryggisráðstöfun sem gerir forritum kleift að fá aðgang að eigin gögnum og kerfisgögnum.
Keppnin var sett af stað af Fluoroacetate teyminu, en meðlimir voru Amat Cama og Richard Zhu. Teymið beitti sér sérstaklega fyrir Safari vafrann, réðst á hann og yfirgaf sandkassann. Öll aðgerðin tók nánast allan úthlutaðan tíma fyrir liðið. Kóðinn heppnaðist aðeins í annað skiptið og að sýna villuna fékk Team Fluoroacetate $55K og 5 stig í Master of Pwn titilinn.
Önnur villan sem kom í ljós leyfði aðgang að rót og kjarna á Mac. Villuna var sýnd af phoenhex & qwerty teyminu. Meðan þeir vafraðu á eigin vefsíðu tókst liðsmönnum að virkja JIT galla sem fylgt var eftir af röð verkefna sem leiddu til fullrar kerfisárásar. Apple vissi af einni af villunum, en með því að sýna gallana fékk þátttakendur $45 og 4 stig í átt að Master of Pwn titlinum.
Skipuleggjandi ráðstefnunnar er Trend Micro undir merkjum Zero Day frumkvæðisins (ZDI). Þetta forrit var búið til til að hvetja tölvuþrjóta til að tilkynna varnarleysi beint til fyrirtækja í stað þess að selja þá til rangra aðila. Fjárhagsleg umbun, viðurkenningar og titlar ættu að vera hvatning fyrir tölvuþrjóta.
Áhugasamir senda nauðsynlegar upplýsingar beint til ZDI sem safnar nauðsynlegum gögnum um þjónustuveituna. Vísindamenn sem starfa beint af frumkvæðinu munu síðan athuga áreiti á sérstökum prófunarstofum og bjóða uppgötvandanum síðan verðlaun. Það er greitt strax eftir samþykkt þess. Á fyrsta degi greiddi ZDI yfir 240 dollara til sérfræðinga.
Safari er algengur aðgangsstaður fyrir tölvuþrjóta. Á ráðstefnunni í fyrra var vafrinn til dæmis notaður til að ná stjórn á snertistikunni á MacBook Pro og sama dag sýndu þátttakendur viðburðarins aðrar vafratengdar árásir.
Heimild: ZDI
