Ամայա Թուման White Hat-ի հաքերները Safari բրաուզերում անվտանգության երկու թերություն են հայտնաբերել Վանկուվերում անվտանգության համաժողովի ժամանակ: Նրանցից մեկը նույնիսկ ի վիճակի է կսմթել իր թույլտվությունները մինչև ձեր Mac-ի ամբողջական վերահսկողությունը վերցնելու աստիճանը: Հայտնաբերված սխալներից առաջինը կարողացավ դուրս գալ ավազատուփից՝ վիրտուալ անվտանգության միջոց, որը թույլ է տալիս հավելվածներին մուտք գործել միայն իրենց սեփական և համակարգի տվյալները:
Մրցույթը սկսել է Fluoroacetate թիմը, որի անդամներն էին Ամաթ Կաման և Ռիչարդ Ժուն: Թիմը հատուկ թիրախավորել է Safari վեբ բրաուզերը, հաջողությամբ հարձակվել է դրա վրա և լքել ավազարկղը: Ամբողջ վիրահատությունը խլեց թիմի համար հատկացված գրեթե ողջ ժամկետը: Կոդը հաջողվեց միայն երկրորդ անգամ, և սխալը ցույց տալով Team Fluoroacetate-ը վաստակեց $55K և 5 միավոր Pwn-ի վարպետի կոչման համար:
Երկրորդ սխալը բացահայտեց Mac-ում թույլատրված արմատային և միջուկի մուտքը: Սխալը ցուցադրվել է phoenhex & qwerty թիմի կողմից: Սեփական վեբկայքը զննարկելիս թիմի անդամներին հաջողվել է ակտիվացնել JIT սխալը, որին հաջորդել են մի շարք առաջադրանքներ, որոնք հանգեցնում են ամբողջական համակարգի հարձակման: Apple-ը գիտեր սխալներից մեկի մասին, սակայն սխալների ցուցադրումը մասնակիցներին վաստակեց $45 և 4 միավոր՝ Master of Pwn կոչման համար:
Համաժողովի կազմակերպիչը Trend Micro-ն է՝ Zero Day նախաձեռնության (ZDI) դրոշի ներքո։ Այս ծրագիրը ստեղծվել է հաքերներին խրախուսելու խոցելիության մասին մասնավոր կերպով զեկուցել ընկերություններին՝ դրանք սխալ մարդկանց վաճառելու փոխարեն: Ֆինանսական պարգևները, շնորհակալագրերը և կոչումները պետք է լինեն հաքերների մոտիվացիան:
Շահագրգիռ կողմերը անհրաժեշտ տեղեկությունները ուղարկում են անմիջապես ZDI-ին, որը հավաքում է մատակարարի մասին անհրաժեշտ տվյալները: Հետազոտողները, որոնք անմիջականորեն ներգրավված են նախաձեռնության կողմից, այնուհետև կստուգեն գրգռիչները հատուկ փորձարկման լաբորատորիաներում, իսկ հետո հայտնաբերողին կառաջարկեն պարգևատրում: Այն վճարվում է դրա հաստատումից անմիջապես հետո։ Առաջին օրվա ընթացքում ZDI-ն ավելի քան 240 դոլար է վճարել փորձագետներին։
Safari-ն հաքերների համար սովորական մուտքի կետ է: Անցյալ տարվա կոնֆերանսում, օրինակ, բրաուզերն օգտագործվել է MacBook Pro-ի Touch Bar-ը վերահսկելու համար, և նույն օրը միջոցառման մասնակիցները ցուցադրել են բրաուզերի վրա հիմնված այլ հարձակումներ:
Աղբյուրը ` The ZDI
