Amaya Toman Els pirates informàtics de White Hat van descobrir dues fallades de seguretat al navegador Safari en una conferència de seguretat a Vancouver. Un d'ells fins i tot és capaç d'ajustar els seus permisos fins al punt de prendre el control complet del vostre Mac. El primer dels errors descoberts va poder sortir de la caixa de sorra, una mesura de seguretat virtual que permet que les aplicacions només accedeixin a les dades pròpies i del sistema.
La competició va ser iniciada per l'equip de Fluoroacetat, els membres del qual eren Amat Cama i Richard Zhu. L'equip es va dirigir específicament al navegador web Safari, el va atacar amb èxit i va abandonar la caixa de sorra. Tota l'operació va durar gairebé tot el temps límit assignat per a l'equip. El codi només va tenir èxit la segona vegada, i mostrar l'error va guanyar 55 dòlars a l'equip de fluoroacetat i 5 punts per al títol de Master of Pwn.
El segon error va revelar que permetia l'accés arrel i al nucli en un Mac. L'error va ser demostrat per l'equip phoenhex i qwerty. Mentre navegaven pel seu propi lloc web, els membres de l'equip van aconseguir activar un error JIT seguit d'una sèrie de tasques que van provocar un atac complet del sistema. Apple sabia d'un dels errors, però demostrar els errors va guanyar als participants 45 dòlars i 4 punts per al títol de Master of Pwn.
L'organitzador de la conferència és Trend Micro sota la bandera de la seva iniciativa Zero Day (ZDI). Aquest programa es va crear per animar els pirates informàtics a denunciar de manera privada les vulnerabilitats directament a les empreses en lloc de vendre-les a les persones equivocades. Les recompenses financeres, els reconeixements i els títols haurien de convertir-se en la motivació dels pirates informàtics.
Les persones interessades envien la informació necessària directament a ZDI, que recull les dades necessàries sobre el proveïdor. Els investigadors empleats directament per la iniciativa comprovaran els estímuls en laboratoris especials de proves i després oferiran una recompensa al descobridor. Es paga immediatament després de la seva aprovació. Durant el primer dia, ZDI va pagar més de 240 dòlars als experts.
Safari és un punt d'entrada comú per als pirates informàtics. A la conferència de l'any passat, per exemple, es va utilitzar el navegador per prendre el control de la Touch Bar en un MacBook Pro, i el mateix dia, els assistents a l'esdeveniment van demostrar altres atacs basats en navegador.
Font: La ZDI
