Pwn2Own 2019: twee grote beveiligings­fouten in Safari gevonden

Door: Raymon Mens - 2 reacties
Safari

In Vancouver, Canada is Pwn2Own 2019 begonnen. Tijdens deze conferentie proberen goedaardige ‘white hat’ hackers elkaar af te troeven door beveiligingsfouten in populaire software te vinden. Op de eerste dag zijn meteen twee lekken in Apple’s browser Safari gevonden.

Het gaat om serieuze beveiligings­fouten. De eerste werd gevonden door het Fluorocetate-team. Ze konden uit de sandbox van Safari breken. Een tweede team kon via Safari de volledige controle over een Mac overnemen. Dit werd bereikt door meerdere lekken te stapelen.

Grote beloning voor vinders Safari-lekken

De hackerteams nemen niet voor niets deel aan Pwn2Own. Ze worden rijkelijk beloond voor hun inspanningen. Zo kreeg het team dat uit de sandbox van Safari kon breken een beloning van 55.000 dollar. Dit is een ernstig lek omdat voornamelijk de iPhone en iPad volledig rondom het idee van sandboxing gemaakt zijn. Apps kunnen -tenzij je het toestaat- niet in elkaars data gaan spitten en dat moet zo blijven. Je wil immers niet dat iedere website zomaar al je foto’s kan uploaden.

Het tweede lek maakt gebruik van privilege escalation. Daarbij worden meerdere lekken gestapeld om controle over het systeem te krijgen. De hackers konden een Mac volledig overnemen door een speciaal geprepareerde website te bezoeken. Ze kregen hierdoor als ‘root’ het volledige beheer over het systeem. Toen ze die toegang eenmaal hadden, werd een ander lek gebruikt om tot het niveau van de kernel door te dringen. Dat resulteerde in een systeem dat volledig overgenomen was. Omdat gebruik werd gemaakt van een bekende bug, was de beloning iets lager, namelijk 45.000 dollar.

Ook Microsoft en Tesla aanwezig op Pwn2Own

Apple’s browser was niet de enige software die werd gehackt. Oracle VirtualBox (tweemaal) en VMware Workstation moesten er ook aan geloven. Beveiligingsbedrijf Trend Micro was de sponsor van de eerste dag en keerde in totaal 240.000 dollar uit. Ook Tesla, Microsoft en VMware zijn partners van de driedaagse competitie. Hackers richten zich ook op software zoals Firefox en Edge en dit jaar voor het eerst ook de autopilot van Tesla.

Deelnemers hebben een tijdslimiet van 30 minuten en drie pogingen om de gevonden lekken te demonstreren. Trend Micro koopt de fouten, die vervolgens aan de ontwikkelaars worden gecommuniceerd. Apple is inmiddels al op de hoogte en zal de lekken in Safari snel dichten.

Reacties

2 reacties
  • Profielfoto
    bmeerdink

    Van het bezoeken van een website met Safari naar totale controle over je systeem, dat is wel heel erg. $45000 vind ik toch wel erg weinig daarvoor ook al zou er een ‘bekende’ (maar blijkbaar nog niet opgeloste!) bug bij gebruikt zijn. ‘Rijkelijk beloond’ zoals het artikel zegt, niet dus. Maar bij pwn2own is het de sponsor (Trend Micro) die betaalt, dus niet eens Apple.

    Ik moet er niet aan denken dat zo’n exploit in het wild verschijnt. En met oude hardware, als je vastzit op een oude versie van macOS (bv. El Capitan) of iOS dan blijft die kwetsbaarheid er definitief inzitten met Safari…

     

  • Profielfoto
    iDeMi

    Het is heel goed dat dit soort events worden georganiseerd. En (witte) petje af voor deze slimme jongens.

    Het geeft maar weer eens aan hoe serieus veiligheid moet worden genomen. Dit is nog maar een klein puntje van de ijsberg.