Amaya Toman Natuklasan ng mga hacker ng White Hat ang dalawang bahid sa seguridad sa Safari browser sa isang kumperensya ng seguridad sa Vancouver. Nagagawa pa ng isa sa kanila na i-tweak ang mga pahintulot nito hanggang sa ganap na kontrolin ang iyong Mac. Ang una sa mga bug na natuklasan ay nagawang umalis sa sandbox - isang virtual na panukalang panseguridad na nagpapahintulot sa mga application na ma-access lamang ang kanilang sarili at data ng system.
Ang kumpetisyon ay sinimulan ng pangkat ng Fluoroacetate, na ang mga miyembro ay sina Amat Cama at Richard Zhu. Partikular na na-target ng team ang Safari web browser, matagumpay na inatake ito at umalis sa sandbox. Ang buong operasyon ay kinuha ang halos buong inilaan na limitasyon sa oras para sa koponan. Ang code ay matagumpay lamang sa pangalawang pagkakataon, at ang pagpapakita ng bug ay nakakuha ng Team Fluoroacetate ng $55K at 5 puntos para sa titulong Master of Pwn.
Ang ikalawang bug ay nagsiwalat na pinapayagan ang root at kernel access sa isang Mac. Ang bug ay ipinakita ng phoenhex at qwerty team. Habang nagba-browse sa sarili nilang website, nagawa ng mga miyembro ng team na i-activate ang isang JIT bug na sinundan ng isang serye ng mga gawain na humahantong sa isang buong pag-atake ng system. Alam ng Apple ang tungkol sa isa sa mga bug, ngunit ang pagpapakita ng mga bug ay nakakuha ng mga kalahok ng $45 at 4 na puntos patungo sa titulong Master of Pwn.
Ang tagapag-ayos ng kumperensya ay Trend Micro sa ilalim ng bandila ng Zero Day initiative (ZDI). Nilikha ang program na ito upang hikayatin ang mga hacker na direktang mag-ulat ng mga kahinaan sa mga kumpanya sa halip na ibenta ang mga ito sa maling tao. Ang mga gantimpala sa pananalapi, pagkilala at mga titulo ay dapat na maging motibasyon para sa mga hacker.
Ang mga interesadong partido ay direktang nagpapadala ng kinakailangang impormasyon sa ZDI, na nangongolekta ng kinakailangang data tungkol sa provider. Ang mga mananaliksik na direktang nagtatrabaho sa pamamagitan ng inisyatiba ay susuriin ang stimuli sa mga espesyal na laboratoryo ng pagsubok at pagkatapos ay mag-alok sa nakatuklas ng isang gantimpala. Ito ay binabayaran kaagad pagkatapos ng pag-apruba nito. Sa unang araw, nagbayad ang ZDI ng mahigit 240 dolyares sa mga eksperto.
Ang Safari ay isang karaniwang entry point para sa mga hacker. Sa kumperensya noong nakaraang taon, halimbawa, ang browser ay ginamit upang kontrolin ang Touch Bar sa isang MacBook Pro, at sa parehong araw, ang mga dumalo sa kaganapan ay nagpakita ng iba pang mga pag-atake na nakabatay sa browser.
Pinagmulan: Ang ZDI
