Safari-hacker: Mac veiliger dan andere besturingssystemen
De Chinese hacker die tijdens de Pwn2Own-wedstrijd Safari en het onderliggende Mac OS X Mavericks wist te hacken stelt dat Apple's besturingssysteem toch veiliger is dan andere besturingssystemen. Woensdag en donderdag vond in Vancouver de jaarlijkse Pwn2Own-wedstrijd plaats.
Onderzoekers en hackers werden uitgedaagd om compleet nieuwe lekken in de populairste browsers en browserplug-ins te demonstreren en zo het onderliggende besturingssysteem over te nemen. Liang Chen van het Keen Team demonstreerde een aanval op Apple Safari, draaiend op de meest recente versie van Mac OS X Mavericks. De succesvolle aanval van Chen werd met 65.000 dollar beloond.
Lekken
Voor de Safari-aanval had Chen twee beveiligingslekken nodig. Een lek in Safari waardoor hij willekeurige code kon uitvoeren en een tweede kwetsbaarheid om uit de sandboxbeveiliging van het besturingssysteem te breken. Dit was ook de grootste uitdaging, aldus Chen. Volgens de Chinese hacker zal het probleem in Webkit, wat de rendering engine van Safari is, eenvoudig door Apple zijn op te lossen.
De andere kwetsbaarheid, die zich op het systeemniveau bevindt, zal een stuk lastiger te verhelpen zijn, aangezien die te maken heeft met Apple's ontwerp van de applicatie. Ondanks de aanval is de onderzoeker toch over OS X te spreken. "Het besturingssysteem van Apple wordt als heel veilig beschouwd en heeft een zeer goede beveiligingsarchitectuur", laat Chen tegenover ThreatPost weten.
"Zelfs als je een lek hebt, is het erg lastig om te misbruiken. Vandaag hebben we gedemonstreerd dat met wat geavanceerde technologie het systeem nog steeds te hacken is, maar over het algemeen is de veiligheid van OS X beter dan die van ander besturingssystemen", besluit Chen.
Ze hebben in ieder geval flinke stappen gemaakt.
"Chen said the big challenge was bypassing the Safari sandbox because the exposedattack surface is so small compared to Internet Explorer, for example."
Nog een uitspraak van dezelfde persoon namens een team dat er een intelligente sport van maakt kwetsbaarheden te vinden in systemen en deze uit te buiten.
Dus om de uitgesproken persoonlijke ervaring dat het het meest lastig was Mac OsX te hacken, dat ze overigens wel is gelukt.
That's all, neem het niet te persoonlijk, ga svp niet lopen trollen met ver gezochte omkeerlogica, nergens voor nodig.
Ten overvloede, leg je focus eerst eens constructief op de veiligheid van gebruikte third party apps, daar krijg je ieder Os al een heel stuk veiliger mee.
Een mooie bindende factor overigens tussen de diverse Os gebruikers om over van gedachten te wisselen hier.
"Chen said the big challenge was bypassing the Safari sandbox because the exposedattack surface is so small compared to Internet Explorer, for example.".
Als hij dat echt zo gezegd heeft: wat een klok en klepel vergelijking zeg.
Moderne apps op Windows 8 draaien ook in een (zeer kleine) sandbox. Die vergelijken met de desktop IE is volstrekt onzinnig.
IE kan je alleen vergelijken met Safari, en daar weten we a lang van dat hij, heel voorzichtig gesteld, niet veiliger is dan IE, Chrome of FF.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
