अमाया तोमन व्हाइट हैट हैकर्स ने वैंकूवर में एक सुरक्षा सम्मेलन में सफारी ब्राउज़र में दो सुरक्षा खामियां खोजीं। उनमें से एक आपके मैक का पूर्ण नियंत्रण लेने के बिंदु तक इसकी अनुमतियों को बदलने में भी सक्षम है। खोजे गए बगों में से पहला सैंडबॉक्स छोड़ने में सक्षम था - एक आभासी सुरक्षा उपाय जो अनुप्रयोगों को केवल अपने और सिस्टम डेटा तक पहुंचने की अनुमति देता है।
प्रतियोगिता की शुरुआत फ़्लोरोएसेटेट टीम द्वारा की गई, जिसके सदस्य अमात कामा और रिचर्ड झू थे। टीम ने विशेष रूप से सफ़ारी वेब ब्राउज़र को लक्षित किया, उस पर सफलतापूर्वक हमला किया और सैंडबॉक्स छोड़ दिया। पूरे ऑपरेशन में टीम के लिए आवंटित लगभग पूरी समय सीमा लग गई। कोड केवल दूसरी बार सफल रहा, और बग दिखाने पर टीम फ्लोरोएसेटेट को $55K और मास्टर ऑफ पीडब्लूएन खिताब के लिए 5 अंक मिले।
दूसरा बग मैक पर रूट और कर्नेल एक्सेस की अनुमति देता है। बग का प्रदर्शन फ़ीनहेक्स और क्वर्टी टीम द्वारा किया गया था। अपनी स्वयं की वेबसाइट ब्राउज़ करते समय, टीम के सदस्य एक JIT बग को सक्रिय करने में कामयाब रहे, जिसके बाद कार्यों की एक श्रृंखला के बाद एक पूर्ण सिस्टम हमला हुआ। ऐप्पल को बग में से एक के बारे में पता था, लेकिन बग का प्रदर्शन करने से प्रतिभागियों को $45 और मास्टर ऑफ पीडब्लूएन शीर्षक की ओर 4 अंक मिले।
सम्मेलन का आयोजक अपने जीरो डे पहल (जेडडीआई) के बैनर तले ट्रेंड माइक्रो है। यह प्रोग्राम हैकर्स को निजी तौर पर कमजोरियों को गलत लोगों को बेचने के बजाय सीधे कंपनियों को रिपोर्ट करने के लिए प्रोत्साहित करने के लिए बनाया गया था। वित्तीय पुरस्कार, स्वीकृतियाँ और उपाधियाँ हैकरों के लिए प्रेरणा होनी चाहिए।
इच्छुक पार्टियाँ आवश्यक जानकारी सीधे ZDI को भेजती हैं, जो प्रदाता के बारे में आवश्यक डेटा एकत्र करती है। पहल द्वारा सीधे नियोजित शोधकर्ता विशेष परीक्षण प्रयोगशालाओं में उत्तेजनाओं की जांच करेंगे और फिर खोजकर्ता को इनाम देंगे। इसकी मंजूरी मिलते ही इसका भुगतान कर दिया जाता है. पहले दिन के दौरान, ZDI ने विशेषज्ञों को 240 डॉलर से अधिक का भुगतान किया।
सफ़ारी हैकर्स के लिए एक सामान्य प्रवेश बिंदु है। उदाहरण के लिए, पिछले साल के सम्मेलन में, मैकबुक प्रो पर टच बार का नियंत्रण लेने के लिए ब्राउज़र का उपयोग किया गया था, और उसी दिन, कार्यक्रम में उपस्थित लोगों ने अन्य ब्राउज़र-आधारित हमलों का प्रदर्शन किया।
स्रोत: जेडडीआई
