Safari-hacker: Mac veiliger dan andere besturingssystemen
De Chinese hacker die tijdens de Pwn2Own-wedstrijd Safari en het onderliggende Mac OS X Mavericks wist te hacken stelt dat Apple's besturingssysteem toch veiliger is dan andere besturingssystemen. Woensdag en donderdag vond in Vancouver de jaarlijkse Pwn2Own-wedstrijd plaats.
Onderzoekers en hackers werden uitgedaagd om compleet nieuwe lekken in de populairste browsers en browserplug-ins te demonstreren en zo het onderliggende besturingssysteem over te nemen. Liang Chen van het Keen Team demonstreerde een aanval op Apple Safari, draaiend op de meest recente versie van Mac OS X Mavericks. De succesvolle aanval van Chen werd met 65.000 dollar beloond.
Lekken
Voor de Safari-aanval had Chen twee beveiligingslekken nodig. Een lek in Safari waardoor hij willekeurige code kon uitvoeren en een tweede kwetsbaarheid om uit de sandboxbeveiliging van het besturingssysteem te breken. Dit was ook de grootste uitdaging, aldus Chen. Volgens de Chinese hacker zal het probleem in Webkit, wat de rendering engine van Safari is, eenvoudig door Apple zijn op te lossen.
De andere kwetsbaarheid, die zich op het systeemniveau bevindt, zal een stuk lastiger te verhelpen zijn, aangezien die te maken heeft met Apple's ontwerp van de applicatie. Ondanks de aanval is de onderzoeker toch over OS X te spreken. "Het besturingssysteem van Apple wordt als heel veilig beschouwd en heeft een zeer goede beveiligingsarchitectuur", laat Chen tegenover ThreatPost weten.
"Zelfs als je een lek hebt, is het erg lastig om te misbruiken. Vandaag hebben we gedemonstreerd dat met wat geavanceerde technologie het systeem nog steeds te hacken is, maar over het algemeen is de veiligheid van OS X beter dan die van ander besturingssystemen", besluit Chen.
Ze hebben in ieder geval flinke stappen gemaakt.
"Chen said the big challenge was bypassing the Safari sandbox because the exposedattack surface is so small compared to Internet Explorer, for example."
Nog een uitspraak van dezelfde persoon namens een team dat er een intelligente sport van maakt kwetsbaarheden te vinden in systemen en deze uit te buiten.
Dus om de uitgesproken persoonlijke ervaring dat het het meest lastig was Mac OsX te hacken, dat ze overigens wel is gelukt.
That's all, neem het niet te persoonlijk, ga svp niet lopen trollen met ver gezochte omkeerlogica, nergens voor nodig.
Ten overvloede, leg je focus eerst eens constructief op de veiligheid van gebruikte third party apps, daar krijg je ieder Os al een heel stuk veiliger mee.
Een mooie bindende factor overigens tussen de diverse Os gebruikers om over van gedachten te wisselen hier.
"Chen said the big challenge was bypassing the Safari sandbox because the exposedattack surface is so small compared to Internet Explorer, for example.".
Als hij dat echt zo gezegd heeft: wat een klok en klepel vergelijking zeg.
Moderne apps op Windows 8 draaien ook in een (zeer kleine) sandbox. Die vergelijken met de desktop IE is volstrekt onzinnig.
IE kan je alleen vergelijken met Safari, en daar weten we a lang van dat hij, heel voorzichtig gesteld, niet veiliger is dan IE, Chrome of FF.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.