Amaya Toman Gli hacker White Hat hanno scoperto due falle di sicurezza nel browser Safari durante una conferenza sulla sicurezza a Vancouver. Uno di questi è persino in grado di modificare i propri permessi al punto da assumere il controllo completo del tuo Mac. Il primo dei bug scoperti è riuscito a lasciare la sandbox, una misura di sicurezza virtuale che consente alle applicazioni di accedere solo ai propri dati e a quelli di sistema.
La competizione è stata avviata dal team del fluoroacetato, i cui membri erano Amat Cama e Richard Zhu. Il team ha preso di mira specificamente il browser web Safari, lo ha attaccato con successo e ha abbandonato la sandbox. L'intera operazione ha richiesto quasi l'intero limite di tempo assegnato alla squadra. Il codice ha avuto successo solo la seconda volta e la visualizzazione del bug ha fatto guadagnare al Team Fluoroacetate $ 55 e 5 punti per il titolo Master of Pwn.
Il secondo bug rivelato consentiva l'accesso root e kernel su un Mac. Il bug è stato dimostrato dal team phoenhex & qwerty. Durante la navigazione nel proprio sito Web, i membri del team sono riusciti ad attivare un bug JIT seguito da una serie di attività che hanno portato a un attacco completo del sistema. Apple era a conoscenza di uno dei bug, ma la dimostrazione dei bug ha fatto guadagnare ai partecipanti $ 45 e 4 punti per il titolo di Master of Pwn.
L'organizzatore della conferenza è Trend Micro sotto la bandiera della sua iniziativa Zero Day (ZDI). Questo programma è stato creato per incoraggiare gli hacker a segnalare privatamente le vulnerabilità direttamente alle aziende invece di venderle alle persone sbagliate. Premi finanziari, riconoscimenti e titoli dovrebbero essere la motivazione per gli hacker.
Gli interessati trasmettono le informazioni necessarie direttamente a ZDI, che raccoglie i dati necessari sul fornitore. I ricercatori impiegati direttamente dall'iniziativa controlleranno poi gli stimoli in appositi laboratori di prova e poi offriranno una ricompensa allo scopritore. Viene pagato immediatamente dopo la sua approvazione. Nel corso del primo giorno la ZDI ha versato agli esperti oltre 240 dollari.
Safari è un punto di ingresso comune per gli hacker. Alla conferenza dello scorso anno, ad esempio, il browser è stato utilizzato per assumere il controllo della Touch Bar di un MacBook Pro e lo stesso giorno i partecipanti all'evento hanno dimostrato altri attacchi basati su browser.
Fonte: Lo ZDI
