Amaya Toman White Hat hacker-ek bi segurtasun-akats aurkitu zituzten Safari arakatzailean Vancouver-en egindako segurtasun-konferentzia batean. Horietako bat bere baimenak doitzeko gai da zure Mac-en kontrol osoa hartzeraino. Aurkitutako akatsen artean lehena sandbox-etik irten ahal izan zen, aplikazioei beren eta sistemaren datuak soilik atzitzeko aukera ematen dien segurtasun-neurri birtuala.
Lehiaketa Fluoroacetate taldeak hasi zuen, Amat Cama eta Richard Zhu izan ziren kideak. Taldeak bereziki zuzendu zuen Safari web arakatzailea, arrakastaz eraso zion eta hondar-kutxa utzi zuen. Operazio osoak taldeari emandako denbora-muga ia osoa hartu zuen. Kodeak bigarren aldiz bakarrik izan zuen arrakasta, eta akatsa erakutsiz Team Fluoroacetate $ 55K eta 5 puntu irabazi zituen Master of Pwn titulurako.
Bigarren akatsak erro eta nukleorako sarbidea baimendu zuen Mac batean. Akatsa phoenhex eta qwerty taldeak frogatu zuen. Beren webgunea arakatzen ari ziren bitartean, taldekideek JIT akats bat aktibatzea lortu zuten, eta ondoren sistema osoko erasoa eragin zuten ataza batzuk. Applek akatsen bat bazekien, baina akatsak frogatuz parte-hartzaileek 45 $ eta 4 puntu irabazi zituzten Master of Pwn titulurako.
Jardunaldiaren antolatzailea Trend Micro da bere Zero Day ekimenaren (ZDI) lemapean. Programa hau hackerrak enpresei ahuleziak zuzenean sala ditzaten sustatzeko sortu zen, pertsona okerrekoei saldu beharrean. Finantza-sariek, aitorpenek eta tituluek hackerren motibazioa izan behar dute.
Interesatuek zuzen-zuzenean bidaltzen dute beharrezko informazioa ZDIra, honek hornitzaileari buruzko beharrezko datuak biltzen dituen. Ekimenak zuzenean enplegatutako ikertzaileek proba-laborategi berezietan egiaztatuko dituzte estimuluak eta, ondoren, aurkitzaileari sari bat eskainiko diote. Onartu eta berehala ordaintzen da. Lehenengo egunean, ZDIk 240 dolar baino gehiago ordaindu zituen adituei.
Safari hackerrentzako ohiko sarrera puntua da. Iazko kongresuan, esaterako, nabigatzailea erabili zen MacBook Pro batean Touch Bar-aren kontrola hartzeko, eta egun berean, ekitaldira bertaratutakoek arakatzailean oinarritutako beste eraso batzuk erakutsi zituzten.
iturria: ZDI
