Zero-day-lek in Safari laat hackers Mac totaal overnemen

Goedaardige 'white-hat'-hackers hebben twee ernstige kwetsbaarheden in Safari gevonden, een waarvan het compleet overnemen van een Mac mogelijk maakt.

De kwetsbaarheden zijn ontdekt door twee teams van beveiligingsonderzoekers, zogenoemde white-hat-hackers die kwetsbaarheden niet misbruiken maar melden bij de softwaremaker. De hackersteams presenteerden de kwetsbaarheden tijdens de wedstrijd Pwn2Own, die helemaal draait om het demonstreren van gaten die altijd al in software zaten, maar pas nu ontdekt zijn.

De hack van het team 'phoenhex & qwerty' wist via een lek in browser Safari verregaande toegang tot Apple-besturingssysteem macOS te krijgen. Door een speciaal geprepareerde site te bezoeken met Safari werd een reeks handelingen in gang gezet. Daarmee kregen de hackers eerst zogenoemde root-toegang, volledig beheer tot het systeem. Van daaruit werd ook nog eens zogenoemde kernel-toegang verkregen, van waaruit het systeem zelf ook gemanipuleerd kan worden, met als resultaat een volledige overname van het systeem.

De hack kreeg bij de wedstrijd maar gedeeltelijke punten, omdat Apple al op de hoogte was van één van de bugs die werd misbruikt. Toch won het team 45.000 dollar met hun demonstratie.

Een ander team, Fluoroacetate, wist buiten de zogenoemde sandbox van Safari te komen. Normaal gesproken werken apps op macOS binnen een soort afgesloten kader, zodat de apps niet zomaar andere software kunnen beïnvloeden. Dat gebeurde door het systeem als het ware te overbelasten, en vervolgens een trucje te gebruiken om een stukje dat buiten de grenzen van de browser te krijgen. De hackers gebruikten een zogeheten brute-force-methode: proberen tot het lukt. De aanpak was toch goed voor een geldprijs van 55.000 dollar.

Zoals bij alle hacks die worden getoond op Pwn2Own is ook Apple voor de publieke demonstratie al op de hoogte gesteld van de kwetsbaarheden. Zo konden die al verholpen worden, om misbruik te voorkomen.