አማያ ቶማን ዋይት ኮፍያ ጠላፊዎች በቫንኩቨር በተደረገ የደህንነት ኮንፈረንስ በሳፋሪ አሳሽ ውስጥ ሁለት የደህንነት ጉድለቶችን አግኝተዋል። ከመካከላቸው አንዱ ማክዎን ሙሉ በሙሉ ለመቆጣጠር እስከ ፍቃዶቹን ማስተካከል ይችላል። ከተገኙት ስህተቶች መካከል የመጀመሪያው ከማጠሪያው መውጣት ችሏል - አፕሊኬሽኖች የራሳቸውን እና የስርዓት ውሂብን ብቻ እንዲደርሱ የሚያስችል ምናባዊ የደህንነት መለኪያ ነው።
ውድድሩ የተጀመረው በFluoroacetate ቡድን ሲሆን አባላቱ አማት ካማ እና ሪቻርድ ዙ ነበሩ። ቡድኑ በተለይ የሳፋሪ ዌብ ማሰሻን ኢላማ አድርጓል፣ በተሳካ ሁኔታ አጠቃው እና ከማጠሪያው ወጥቷል። አጠቃላይ ስራው ለቡድኑ የተመደበውን የጊዜ ገደብ ከሞላ ጎደል ወስዷል። ኮዱ የተሳካው ለሁለተኛ ጊዜ ብቻ ነው፣ እና ስህተቱን በማሳየት የቡድን Fluoroacetate $ 55K እና 5 ነጥቦችን ወደ Master of Pwn ርዕስ አግኝቷል።
ሁለተኛው ስህተት በማክ ላይ የስር እና የከርነል መዳረሻን አሳይቷል። ስህተቱ በphoenhex እና qwerty ቡድን ታይቷል። የየራሳቸውን ድረ-ገጽ በማሰስ ላይ እያሉ የቡድን አባላት የጂአይቲ ስህተትን ማግበር ችለዋል፤ ከዚያም ወደ ሙሉ የስርዓት ጥቃት የሚመሩ ተከታታይ ስራዎች። አፕል ስለ አንዱ ስህተቶች ያውቅ ነበር፣ ነገር ግን ትልቹን በማሳየት ተሳታፊዎችን $45 እና 4 ነጥቦችን ወደ Master of Pwn ርዕስ አግኝቷል።
የኮንፈረንሱ አዘጋጅ ትሬንድ ማይክሮ በዜሮ ቀን ተነሳሽነት (ZDI) ባነር ስር ነው። ይህ ፕሮግራም የመረጃ ጠላፊዎች ተጋላጭነታቸውን ለተሳሳቱ ሰዎች ከመሸጥ ይልቅ በቀጥታ ለኩባንያዎች ሪፖርት እንዲያደርጉ ለማበረታታት ነው። የገንዘብ ሽልማቶች፣ ምስጋናዎች እና ርዕሶች የጠላፊዎች መነሳሳት መሆን አለባቸው።
ፍላጎት ያላቸው ወገኖች አስፈላጊውን መረጃ በቀጥታ ወደ ZDI ይልካሉ, ይህም ስለ አቅራቢው አስፈላጊውን መረጃ ይሰበስባል. በዚህ ተነሳሽነት በቀጥታ የተቀጠሩ ተመራማሪዎች በልዩ የሙከራ ላቦራቶሪዎች ውስጥ ያለውን ማነቃቂያ ይፈትሹ እና ከዚያም ለአግኚው ሽልማት ይሰጣሉ። ከተፈቀደ በኋላ ወዲያውኑ ይከፈላል. በመጀመሪያው ቀን ZDI ከ240 ዶላር በላይ ለባለሙያዎች ከፍሏል።
ሳፋሪ ለጠላፊዎች የተለመደ የመግቢያ ነጥብ ነው። ለምሳሌ ባለፈው ዓመት በተካሄደው ኮንፈረንስ፣ አሳሹ የንክኪ ባርን በ MacBook Pro ላይ ለመቆጣጠር ጥቅም ላይ ውሏል፣ እና በዚያው ቀን፣ የዝግጅቱ ተሳታፊዎች ሌሎች አሳሽ ላይ የተመሰረቱ ጥቃቶችን አሳይተዋል።
ምንጭ ZDI
