Onderzoekers hacken Safari op de Mac en nemen controle Touch Bar over
Safari-exploit richt zich op Touch Bar
Tijdens het Pwn2Own-event proberen beveiligingsonderzoekers lekken te vinden in veelgebruikte software en browsers. Vorig jaar ontdekte onderzoeker Samuel Groß van de phoenhex-hackersgroep al een kwetsbaarheid in Safari en dit jaar sloeg hij opnieuw toe. Deze keer vond hij een kwetsbaarheid in de Touch Bar op de nieuwste MacBook Pro. Groß bleek in staat om de tekst op een Touch Bar aan te passen en ontving een geldbedrag van $65.000 voor zijn ontdekking.
Apple’s Touch Bar op de nieuwste MacBook Pro’s is beveiligd met een speciale T1-chip met een Secure Enclave. Maar toch slaagde Groß erin om met een driestapsproces toegang te krijgen tot de inhoud van de Touch Bar. Hij verdiende daarmee zes punten waarmee hij uiteindelijk de titel Master of Pwn kan verdienen. Groß gebruikte een combinatie van een JIT-optimalisatiebug in de browser, een macOS-bug om te ontsnappen uit de sandbox en een kernel overwrite om code uit te voeren via Safari.
Safari-bugs
Op het event deed Richard Zhu ook een poging om de beveiligingsprotocollen van de iPhone 7 te omzeilen. Hij wilde daarvoor twee Safari-bugs gebruiken die hij eerder op een Pwn2Own-event in november had laten zien. Maar het lukte niet om in de beschikbare 30 minuten het trucje te herhalen. Wel slaagde Zhu erin om de beveiliging van de Microsoft Edge-browser te doorbreken.
Wat betekent het voor jou?
Onderzoekers kunnen met de wedstrijd geldprijzen winnen. Dat er nu kwetsbaarheden zijn ontdekt, wil nog niet zeggen dat je als Safari- of Touch Bar-gebruiker direct gevaar loopt. De gedemonstreerde beveiligingslekken worden aan de betreffende leverancier gemeld, zodat die een update kan uitbrengen.
Pwn2Own is een jaarlijkse hackwedstrijd die al sinds 2007 bestaat en waarbij beveiligingsonderzoekers proberen om in een korte tijd beveiligingslekken te demonstreren. Het is onderdeel van het Zero Day Initiative. Dit jaar werkten de organisatoren samen met Microsoft en sponsor VMWare. In totaal is er 2 miljoen dollar aan prijzengeld te verdienen. Vandaag zullen er nog meer pogingen worden ondernomen om Safari, de macOS kernel en Apple’s sandbox te grazen te nemen. Via Twitter kun je de ontwikkelingen volgen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
- Thread 1.4 komt naar je smart home: dit zijn de 6 verbeteringen (09-09)
- HomeComputerMuseum in Helmond heeft onvoldoende geld binnengehaald (07-09)
Safari
Safari is de Apple's eigen webbrowser die standaard beschikbaar is op iPhone, iPad en Mac. Safari draait op WebKit, de motor achter de browser en ondersteunt alle huidige internetstandaarden. Safari heeft allerlei handige functies, zoals het instellen van favoriete websites, bladwijzers, het Safari-privacyrapport, het aanmaken van Safari-profielen en nog veel meer. De browser krijgt regelmatig nieuwe functies, samen met grote iOS-, iPadOS- en macOS-updates. Lees hier alles over Safari en nuttige tips.
- Alles over Safari
- Handige tips voor Safari op iPhone en iPad
- De beste Safari-extensies
- Adresbalk in Safari boven of onder
- Favoriete websites openen met Safari op iPhone en iPad
- Websites vertalen via Safari
- Zo werkt de Safari-leeslijst
- Safari-tabbladen sluiten doe je zo
- Safari-wallpaper op de Mac instellen
- Zo werkt de Safari-startpagina
- Safari-privacyrapport
- Privémodus in Safari
- Safari-profielen gebruiken
Reacties: 1 reacties