O echipă formată din specialişti în domeniul securităţii a câştigat 10.000 de dolari pentru că a „spart” un dispozitiv MacBook Air, în numai două minute, folosind o vulnerabilitate Safari care nu a fost dezvăluită.
Isprava a fost reuşită de Charlie Miller, Jake Honoroff şi Mark Daniel, de la Independent Security Evaluators, în timpul concursului Pwn to Own sponsorizat de TippingPoint. Echipa a preluat controlul unui MacBook Air în cea de-a doua zi a competiţiei, în care au mai fost testate sisteme Windows Vista şi Ubuntu.
Nimeni nu a reuşit să execute cod asupra niciunui sistem în prima zi a competiţiei, când au fost permise numai tehnici de tipul over-the-network techniques asupra sistemeleor de operare în sine. Dar în a doua zi, regulile s-au schimbat, fiind permise atacurile realizate prin inducerea în eroare a cuiva pentru a vizita site-uri maliţioase sau pentru a deschide un e-mail. Atacatorilor li s-a permis şi să vizeze în mod direct aplicaţii precum browserele.
Echipa a executat cod asupra unui site şi a reuşit să obţină accesul la un MacBook Air şi să reucpereze un fişier după ce vizitatorii au fost „păcăliţi” să viziteze site-ul. Potrivit blog-ului TippingPoint DVLabs, o nouă vulnerabilitate descoperită în Sfari Safari a fost utilizată pentru a obţine controlul asupra dispozitivului Air.
Regulile concursului prevăd că învingătorii semnează imediat un contract de confidenţialitate în legătură cu tehnicile folosite, astfel încât vulnerabilitatea să nu poată fi dezvăluită, iar TippingPoint a precizat că a informat Apple în legătură cu această vulnerabilitate.
Concursul de anul trecut a fost câştigat prin exploatarea unei vulnerabilităţi din QuickTime, care a fost remediată de Apple în mai puţin de două săptămâni.
sursa:CNET News
Postări
Niciun comentariu:
Trimiteți un comentariu