Shane Macaulay heeft op de CanSecWest conferentie in Vancouver een MacBook Pro gewonnen door een MacBook Pro te hacken. Hij gebruikte daarvoor een zero-day veiligheidslek in Apple’s Safari browser.
Op de conferentie werd de "PWN to Own" hack-a-Mac contest gehouden. Omdat niemand het tijdens de eerste dag voor elkaar kreeg om een MacBook Pro te hacken, versoepelde de organisatie de regels. Daardoor lukte het Macauley uiteindelijk om met behulp van een zero-day lek in Safari te gebruiken om de MacBook Pro over te nemen. Daarvoor was echter wel nodig dat één van de organisatoren een website bezocht. Macauley werkte overigens samen met beveiligingsexpert Dino Dai Zovi. Hij schreef het exploit in negen uur, nadat hij het lek in Safari had gevonden.
Dai Zovi liet weten dat hij dus de schrijver en bedenker van het exploit is, maar dat Shane Macaulay de zaken voor hem in de praktijk uitvoert. Dai Zovi heeft er dan ook geen problemen mee dat Macauley de MacBook Pro mee naar huis neemt. Hij heeft zijn zinnen gezet op een prijs van 10.000 die uitgeloofd is door het bedrijf TippingPoint. Dit bedrijf liet tijdens de conferentie weten deze prijs weg te geven aan iemand die een MacBook Pro zou hacken via een nog onbekend lek. TippingPoint heeft laten weten dat Dai Zovi het bedrag zeker overgemaakt krijgt als het exploit bestudeerd is.
Apple wilde niet inhoudelijk ingaan op het lek, maar liet wel weten het lek zeer serieus te nemen en te gaan onderzoeken. Overigens hoeven Macgebruikers niet direct bang te zijn voor het lek, want voor de wedstrijd werden MacBooks gebruikt met de laatste updates en verbonden met een draadloze router, maar zonder enige andere beveiligingsprogramma’s of instellingen.
20 uur geleden
