Амаиа Томан Хакери Белог шешира открили су две безбедносне грешке у претраживачу Сафари на безбедносној конференцији у Ванкуверу. Један од њих чак је у стању да подеси своје дозволе до тачке да преузме потпуну контролу над вашим Мац-ом. Прва од откривених грешака могла је да напусти сандбок - виртуелну безбедносну меру која омогућава апликацијама да приступе само сопственим и системским подацима.
Такмичење је започео тим Флуороацетат, чији су чланови били Амат Цама и Рицхард Зху. Тим је посебно циљао Сафари веб претраживач, успешно га напао и напустио сандбок. Цела операција је трајала скоро цело време предвиђено за тим. Код је био успешан тек други пут, а приказивање грешке донело је тиму Флуороацетат 55 хиљада долара и 5 поена за титулу Мастер оф Пвн.
Друга грешка је открила дозвољен приступ роот-у и кернелу на Мац-у. Грешку је демонстрирао пхоенхек & кверти тим. Док су прегледавали сопствену веб страницу, чланови тима су успели да активирају ЈИТ грешку након чега је уследио низ задатака који су довели до потпуног напада система. Аппле је знао за једну од грешака, али је демонстрирање грешака донело учесницима 45 долара и 4 бода за титулу Мастер оф Пвн.
Организатор конференције је Тренд Мицро под заставом своје иницијативе Зеро Даи (ЗДИ). Овај програм је креиран да подстакне хакере да приватно пријаве рањивости директно компанијама уместо да их продају погрешним људима. Финансијске награде, признања и титуле треба да буду мотивација за хакере.
Заинтересовани шаљу потребне информације директно у ЗДИ, који прикупља потребне податке о провајдеру. Истраживачи директно запослени у иницијативи ће затим проверити стимулусе у посебним лабораторијама за тестирање, а затим ће открићу понудити награду. Плаћа се одмах по одобрењу. Током првог дана, ЗДИ је исплатио преко 240 долара стручњацима.
Сафари је уобичајена улазна тачка за хакере. На прошлогодишњој конференцији, на пример, претраживач је коришћен за преузимање контроле над Тоуцх Бар-ом на МацБоок Про-у, а истог дана, учесници догађаја су демонстрирали друге нападе засноване на претраживачу.
Извор: Тхе ЗДИ
