अमाया तोमन व्हाईट हॅट हॅकर्सने व्हँकुव्हरमधील सुरक्षा परिषदेत सफारी ब्राउझरमध्ये दोन सुरक्षा त्रुटी शोधल्या. त्यापैकी एक आपल्या मॅकवर संपूर्ण नियंत्रण ठेवण्याच्या बिंदूपर्यंत त्याच्या परवानग्या बदलण्यास सक्षम आहे. सापडलेल्या बग्सपैकी पहिले सँडबॉक्स सोडण्यात सक्षम होते - एक आभासी सुरक्षा उपाय जो अनुप्रयोगांना फक्त त्यांच्या स्वतःच्या आणि सिस्टम डेटामध्ये प्रवेश करू देतो.
फ्लुरोएसीटेट संघाने ही स्पर्धा सुरू केली, ज्याचे सदस्य अमत कामा आणि रिचर्ड झू होते. टीमने विशेषतः सफारी वेब ब्राउझरला लक्ष्य केले, त्यावर यशस्वी हल्ला केला आणि सँडबॉक्स सोडला. संपूर्ण ऑपरेशनमध्ये संघासाठी दिलेली जवळजवळ संपूर्ण वेळ मर्यादा घेतली गेली. कोड फक्त दुसऱ्यांदा यशस्वी झाला, आणि बग दाखवून टीम फ्लुरोएसीटेटला $55K आणि मास्टर ऑफ Pwn शीर्षकासाठी 5 गुण मिळाले.
दुसऱ्या बगने मॅकवर रूट आणि कर्नल प्रवेशास अनुमती दिली आहे. phoenhex & qwerty टीमने बगचे प्रात्यक्षिक केले. त्यांची स्वतःची वेबसाइट ब्राउझ करत असताना, टीम सदस्यांनी JIT बग सक्रिय करण्यात व्यवस्थापित केले आणि त्यानंतर संपूर्ण सिस्टीम हल्ला करण्यासाठी अनेक कार्ये केली. ऍपलला एका बगबद्दल माहिती होती, परंतु बगचे प्रात्यक्षिक करून सहभागींना $45 आणि मास्टर ऑफ Pwn शीर्षकासाठी 4 गुण मिळाले.
कॉन्फरन्सचे आयोजक ट्रेंड मायक्रो त्याच्या झिरो डे उपक्रमाच्या (ZDI) बॅनरखाली आहेत. हा प्रोग्राम हॅकर्सना असुरक्षिततेची माहिती चुकीच्या लोकांना विकण्याऐवजी थेट कंपन्यांना देण्यासाठी प्रोत्साहित करण्यासाठी तयार करण्यात आला होता. आर्थिक बक्षिसे, पोचपावती आणि शीर्षके हॅकर्ससाठी प्रेरणा असावीत.
इच्छुक पक्ष आवश्यक माहिती थेट ZDI ला पाठवतात, जे प्रदात्याबद्दल आवश्यक डेटा गोळा करतात. पुढाकाराने थेट नियुक्त केलेले संशोधक नंतर विशेष चाचणी प्रयोगशाळांमध्ये उत्तेजनाची तपासणी करतील आणि नंतर शोधकर्त्याला बक्षीस देऊ करतील. त्याची मंजुरी मिळाल्यानंतर लगेच पैसे दिले जातात. पहिल्या दिवसादरम्यान, ZDI ने तज्ञांना 240 डॉलर्सपेक्षा जास्त पैसे दिले.
सफारी हॅकर्ससाठी एक सामान्य प्रवेश बिंदू आहे. गेल्या वर्षीच्या कॉन्फरन्समध्ये, उदाहरणार्थ, ब्राउझरचा वापर MacBook Pro वर टच बारवर नियंत्रण ठेवण्यासाठी केला गेला आणि त्याच दिवशी, कार्यक्रमातील उपस्थितांनी इतर ब्राउझर-आधारित हल्ले दाखवले.
स्त्रोत: ZDI
