أمايا تومان اكتشف قراصنة White Hat عيبين أمنيين في متصفح Safari في مؤتمر أمني في فانكوفر. حتى أن أحدهم قادر على تعديل أذوناته إلى درجة السيطرة الكاملة على جهاز Mac الخاص بك. كان أول الأخطاء المكتشفة قادرًا على مغادرة وضع الحماية - وهو إجراء أمني افتراضي يسمح للتطبيقات بالوصول إلى البيانات الخاصة بها وبيانات النظام فقط.
بدأت المسابقة من قبل فريق Fluoroacetate، الذي كان أعضاؤه أمات كاما وريتشارد تشو. استهدف الفريق على وجه التحديد متصفح الويب Safari، ونجح في مهاجمته وخرج من وضع الحماية. استغرقت العملية بأكملها تقريبًا كامل الوقت المخصص للفريق. نجح الكود في المرة الثانية فقط، وأدى إظهار الخطأ إلى حصول فريق Fluoroacetate على 55 ألف دولار و5 نقاط للحصول على لقب Master of Pwn.
تم الكشف عن الخطأ الثاني الذي يسمح بالوصول إلى الجذر والنواة على جهاز Mac. تم عرض الخلل بواسطة فريق phoenhex & qwerty. أثناء تصفح موقع الويب الخاص بهم، تمكن أعضاء الفريق من تشغيل خطأ JIT متبوعًا بسلسلة من المهام التي أدت إلى هجوم كامل على النظام. علمت شركة Apple بوجود أحد الأخطاء، لكن عرض الأخطاء أكسب المشاركين 45 دولار و4 نقاط للحصول على لقب Master of Pwn.
ويتم تنظيم المؤتمر من قبل تريند مايكرو تحت شعار مبادرة Zero Day (ZDI). تم إنشاء هذا البرنامج لتشجيع المتسللين على الإبلاغ بشكل خاص عن نقاط الضعف للشركات مباشرةً بدلاً من بيعها للأشخاص الخطأ. يجب أن تصبح المكافآت المالية والتقديرات والألقاب هي الدافع للمتسللين.
تقوم الأطراف المهتمة بإرسال المعلومات اللازمة مباشرة إلى ZDI، التي تقوم بجمع البيانات اللازمة حول المزود. سيقوم الباحثون الذين يتم توظيفهم مباشرة من قبل المبادرة بفحص المحفزات في مختبرات اختبار خاصة ومن ثم تقديم مكافأة للمكتشف. يتم دفعها مباشرة بعد الموافقة عليها. خلال اليوم الأول، دفعت ZDI ما يزيد عن 240 دولار للخبراء.
يعد Safari نقطة دخول شائعة للمتسللين. ففي مؤتمر العام الماضي، على سبيل المثال، تم استخدام المتصفح للتحكم في Touch Bar في جهاز MacBook Pro، وفي اليوم نفسه، أظهر الحاضرون في الحدث هجمات أخرى تعتمد على المتصفح.
مصدر: زدي
