image

Safari-hacker: Mac veiliger dan andere besturingssystemen

zaterdag 15 maart 2014, 06:39 door Redactie, 8 reacties

De Chinese hacker die tijdens de Pwn2Own-wedstrijd Safari en het onderliggende Mac OS X Mavericks wist te hacken stelt dat Apple's besturingssysteem toch veiliger is dan andere besturingssystemen. Woensdag en donderdag vond in Vancouver de jaarlijkse Pwn2Own-wedstrijd plaats.

Onderzoekers en hackers werden uitgedaagd om compleet nieuwe lekken in de populairste browsers en browserplug-ins te demonstreren en zo het onderliggende besturingssysteem over te nemen. Liang Chen van het Keen Team demonstreerde een aanval op Apple Safari, draaiend op de meest recente versie van Mac OS X Mavericks. De succesvolle aanval van Chen werd met 65.000 dollar beloond.

Lekken

Voor de Safari-aanval had Chen twee beveiligingslekken nodig. Een lek in Safari waardoor hij willekeurige code kon uitvoeren en een tweede kwetsbaarheid om uit de sandboxbeveiliging van het besturingssysteem te breken. Dit was ook de grootste uitdaging, aldus Chen. Volgens de Chinese hacker zal het probleem in Webkit, wat de rendering engine van Safari is, eenvoudig door Apple zijn op te lossen.

De andere kwetsbaarheid, die zich op het systeemniveau bevindt, zal een stuk lastiger te verhelpen zijn, aangezien die te maken heeft met Apple's ontwerp van de applicatie. Ondanks de aanval is de onderzoeker toch over OS X te spreken. "Het besturingssysteem van Apple wordt als heel veilig beschouwd en heeft een zeer goede beveiligingsarchitectuur", laat Chen tegenover ThreatPost weten.

"Zelfs als je een lek hebt, is het erg lastig om te misbruiken. Vandaag hebben we gedemonstreerd dat met wat geavanceerde technologie het systeem nog steeds te hacken is, maar over het algemeen is de veiligheid van OS X beter dan die van ander besturingssystemen", besluit Chen.

Reacties (8)
15-03-2014, 07:34 door Anoniem
Net welke hoed op zegt hij dat? Maakt nogal een verschilletje. Zeker in een tijd waarin zelfs overheden niet meer te vertrouwen zijn.
15-03-2014, 09:06 door [Account Verwijderd]
[Verwijderd]
15-03-2014, 09:10 door [Account Verwijderd]
[Verwijderd]
15-03-2014, 10:03 door Anoniem
Met en laatste versies heeft Apple dan ook hard gewerkt aan de security in OSX en veel toegevoegd, dus het verbaasd me niet. Daarbij moesten developers o.a. Sandboxing gaan gebruiken om hun Apps nog in de App store te mogen publiceren.
Ze hebben in ieder geval flinke stappen gemaakt.
15-03-2014, 13:15 door [Account Verwijderd] - Bijgewerkt: 15-03-2014, 13:20
[Verwijderd]
15-03-2014, 14:04 door Anoniem
Gaan we weer: weersta de gemakkelijke verleiding s.v.p.

"Chen said the big challenge was bypassing the Safari sandbox because the exposedattack surface is so small compared to Internet Explorer, for example."

Nog een uitspraak van dezelfde persoon namens een team dat er een intelligente sport van maakt kwetsbaarheden te vinden in systemen en deze uit te buiten.
Dus om de uitgesproken persoonlijke ervaring dat het het meest lastig was Mac OsX te hacken, dat ze overigens wel is gelukt.

That's all, neem het niet te persoonlijk, ga svp niet lopen trollen met ver gezochte omkeerlogica, nergens voor nodig.

Ten overvloede, leg je focus eerst eens constructief op de veiligheid van gebruikte third party apps, daar krijg je ieder Os al een heel stuk veiliger mee.
Een mooie bindende factor overigens tussen de diverse Os gebruikers om over van gedachten te wisselen hier.
15-03-2014, 22:54 door Anoniem
Door Anoniem:

"Chen said the big challenge was bypassing the Safari sandbox because the exposedattack surface is so small compared to Internet Explorer, for example.".

Als hij dat echt zo gezegd heeft: wat een klok en klepel vergelijking zeg.

Moderne apps op Windows 8 draaien ook in een (zeer kleine) sandbox. Die vergelijken met de desktop IE is volstrekt onzinnig.

IE kan je alleen vergelijken met Safari, en daar weten we a lang van dat hij, heel voorzichtig gesteld, niet veiliger is dan IE, Chrome of FF.
17-03-2014, 10:10 door Anoniem
Yo ... http://blog.azimuthsecurity.com/2014/03/attacking-ios-7-earlyrandom-prng.html ;P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.