Amaya Toman Peretas White Hat menemukan dua kelemahan keamanan di browser Safari pada konferensi keamanan di Vancouver. Salah satunya bahkan dapat mengubah izinnya hingga mengambil kendali penuh atas Mac Anda. Bug pertama yang ditemukan adalah dapat keluar dari kotak pasir - tindakan keamanan virtual yang memungkinkan aplikasi hanya mengakses datanya sendiri dan data sistem.
Kompetisi dimulai oleh tim Fluoroacetate yang beranggotakan Amat Cama dan Richard Zhu. Tim secara khusus menargetkan browser web Safari, berhasil menyerangnya dan meninggalkan kotak pasir. Keseluruhan operasi memakan hampir seluruh batas waktu yang diberikan kepada tim. Kode tersebut hanya berhasil untuk kedua kalinya, dan menunjukkan bug tersebut menghasilkan Tim Fluoroacetate $55K dan 5 poin untuk meraih gelar Master of Pwn.
Bug kedua mengungkapkan izin akses root dan kernel pada Mac. Bug tersebut didemonstrasikan oleh tim phoenhex & qwerty. Saat menelusuri situs web mereka sendiri, anggota tim berhasil mengaktifkan bug JIT yang diikuti dengan serangkaian tugas yang menyebabkan serangan sistem penuh. Apple mengetahui salah satu bug tersebut, namun dengan mendemonstrasikan bug tersebut, peserta mendapatkan $45 dan 4 poin untuk meraih gelar Master of Pwn.
Penyelenggara konferensi ini adalah Trend Micro di bawah bendera inisiatif Zero Day (ZDI). Program ini dibuat untuk mendorong peretas melaporkan kerentanan secara pribadi langsung ke perusahaan alih-alih menjualnya kepada orang yang salah. Imbalan finansial, pengakuan, dan gelar harus menjadi motivasi bagi peretas.
Pihak yang berkepentingan mengirimkan informasi yang diperlukan langsung ke ZDI, yang mengumpulkan data yang diperlukan tentang penyedia. Para peneliti yang dipekerjakan langsung oleh inisiatif ini kemudian akan memeriksa rangsangan di laboratorium pengujian khusus dan kemudian menawarkan hadiah kepada penemunya. Itu dibayarkan segera setelah disetujui. Pada hari pertama, ZDI membayar lebih dari 240 dolar kepada para ahli.
Safari adalah titik masuk umum bagi peretas. Pada konferensi tahun lalu, misalnya, browser digunakan untuk mengendalikan Touch Bar di MacBook Pro, dan pada hari yang sama, peserta acara tersebut mendemonstrasikan serangan berbasis browser lainnya.
Zdroj: ZDI
