MacBook Air hackad på 2 minuter
Hackare utnyttjade svaghet i Safari
På CanSecWest-konferensen i Vancouver som pågått de senaste dagarna har det hållits en tävling som gick ut på att försöka hacka tre laptops. En med Ubuntu Linux, en med Windows Vista och en MacBook Air med OS X Leopard.Den som först lyckades hacka någon av maskinerna skulle vinna tävlingen. Under den första dagen blev ingen laptop hackad, men den andra dagen då det blev tillåtet att använda sig av svagheter i webbläsare och e-mail tog det inte mer än 2 minuter för ett team att hacka Apples MacBook Air.Vinnarna som gick därifrån med en MacBook Air och $10,000 i vinstpengar utnyttjade en svaghet i Safari för att ta sig in i Apples laptop.Apple jobbar nu på att stänga luckan i Safari och i enlighet med tävlingens regler kommer varken arrangörerna eller det vinnande teamet att avslöja exakt vad de gjorde förrän luckan är fixad.De båda datorerna med Ubuntu och Vista har fortfarande inte hackats...Tack till Anund för tipset!
dvlabs.tippingpoint.com
Mac,
Mac,
Apple,
Safari,
MacBook Air
Via
TUAW
37.0°
0
Andreas Climent
fre. 28 mar 2008, 14:30
65 kommentarer till artikeln
*Väntar med spänning på bortförklaringar från Apple-fanatikerna*
av petter-, fredag 28 mars 2008 kl 14:41
Jisses. Fort var det gjort.
av jeez, fredag 28 mars 2008 kl 14:48
Rättelser:
"...utnyttjade en svaghet i Safari..."
"...använde en utökad funktion i Safari..."
"Apple jobbar nu på att stänga luckan i Safari"
"Apple jobbar nu på att optimera funktionen i Safari"
"De båda datorerna med Ubuntu och Vista har fortfarande inte hackats..." Det beror väl på att datorn med Vista inte lyckats att starta än....
Btw, Andreas borde få sparken för att posta en sån här nyhet på macfeber.
av Phillip, fredag 28 mars 2008 kl 14:53
Ajja, vi kan trösta oss med att det var en Mac som hackade MBA:n ;)
Svårt val när det gäller prioritering när man får datorn man sänker ... :)
av Carl Ericsson, fredag 28 mars 2008 kl 14:59
undrar om samma hål fungerar med windows versionen av safari
av Didrik, fredag 28 mars 2008 kl 15:02
Macen blev hackad innan Vista? Now that's news...!
av GiGaMoG, fredag 28 mars 2008 kl 15:04
Petter, här är första beviset :)
Postat av Philip.
Det beror väl på att datorn med Vista inte lyckats att starta än....
av Chabbelito, fredag 28 mars 2008 kl 15:05
ska bli intressant att se om Visa dukar under till slut
av Pastor Zakilowski, fredag 28 mars 2008 kl 15:05
Pastor Zakilowski: Vad har Visa med et här att göra? ;-)
av Netzach, fredag 28 mars 2008 kl 15:08
GiGaMoG: Vista-maskinen har ju inte blivit hackad än...
av petter-, fredag 28 mars 2008 kl 15:09
Hur stor andel av hackarna attackerade Macen då? Om det var valfritt vilken plattform man fick attackera, och man dessutom vann den dator man hackade, så är det inte så konstigt om majoriteten attackerade Macen.
av frebro, fredag 28 mars 2008 kl 15:17
jag hatar kreditkort! :/
av Pastor Zakilowski, fredag 28 mars 2008 kl 15:21
Det är ju ganska svårt att uttala sig om detta eftersom det inte framgår vad "hacket" gick ut på. Lyckades han ta över hela datorn? I så fall är det extremt allvarligt. Lyckades han krascha datorn? Lite mindre allvarligt. Lyckades han styra användaren till exempelvis någon bluffsajt utan att denne såg vad som hände? Ännu mindre allvarligt.
Och om det nu är Safari som problemet låg i, så är det snarare det enstaka programmet som ska kritiseras och inte OS X i sig. Har man väl fått en idiot bakom tangentbordet så brukar inga operativsystem i världen hjälpa... :)
av kiwi, fredag 28 mars 2008 kl 15:36
"Har man väl fått en idiot bakom tangentbordet så brukar inga operativsystem i världen hjälpa" ... Kan du utveckla resonemanget, förstår inte vad det har att göra med svagheter i Safari.
av daniel-san, fredag 28 mars 2008 kl 15:41
frebro: visst ligger det en del i det du säger MEN;
Prissumman var 10000 dollar så själva datorvärdet hade mindre betydelse. Och eftersom folk hävdar att Mac med OS X är en säkrare plattform än en PC med Windows kan man tycka att det hadde varit vettigare av hackarna att satsa på den dator som borde vara enklast att hacka.
Men som sagt skulle vara intressant att veta hur många som försökte sig på att hacka de olika plattformarna.
av Wayne, fredag 28 mars 2008 kl 15:46
frebro: Erhm, det var det nog dummaste jag har läst den här veckan.
av petter-, fredag 28 mars 2008 kl 15:51
Alltså jag kommer garva ihjäl mig när det börjar dyka upp lite roliga trojaner och virus till macen... Eftersom alla macanvändere jag känner är helt bakom flötet när det gäller datorer så lär det spridas sjukt snabbt...
Dator som dator... finns alltid hål att krypa igenom...
av ---justin---, fredag 28 mars 2008 kl 15:59
Vinnaren fick ta hem datorn som hackades, klart man hackar en Macbook Air då! Det handlar tydligen om att få åtkomst till en textfil och läsa innehållet på måldatorn. Kan ju tilläggas att snubben som lyckades var förberedd och hade satt upp en egen sida som fick exploiten att funka, så det var inget han slängde ihop på två minuter..
av moq, fredag 28 mars 2008 kl 16:03
Istället för skadeglädje känner jag bara en viss lättnad att Vista iaf inte är helt värdelöst.
av behag, fredag 28 mars 2008 kl 16:03
Någon som har koll på version av Safari, OSX och vilka säkerhetsuppdateringar som var installerade? Senaste på alla plattformar?
av Netzach, fredag 28 mars 2008 kl 16:13
moq: Ja, för man tar ju verkligen inte den dator som är lättast att hacka så man får $10,000...
av petter-, fredag 28 mars 2008 kl 16:29
Japp, det senaste på alla!!
Sedan var det hel default inställning på systemen, typ som
en nyöppnad mac som bara har startats och sedan updaterats!
av Bobby Bulgur, fredag 28 mars 2008 kl 16:30
Jag var inte helt seriös petter- :)
Bobby Bulgur: Var de inte bara out of the box? så fattade jag det iallafall, kanske var med senaste patchar osv. När jag tänker efter så bör det ju vara så.. Oavsett så känner jag mig säker med min Mac.
av moq, fredag 28 mars 2008 kl 16:33
Jävlar i havet vad jag myser nu : D
av Melvin, fredag 28 mars 2008 kl 17:06
Phillip: Jobbigt när skygglapparna inte fungerar?
av jeez, fredag 28 mars 2008 kl 17:20
kiwi: vadå inte framgår vad hacket gick ut på? prova att läsa artikeln före du fyller på med dina macfloskler.
av Didrik, fredag 28 mars 2008 kl 17:27
Daniel-san: Icke-idioter vet att man inte ska klicka på länkar i brev från okända avsändare, ladda ner och köra okända program och inte lämna ut sitt kontokortsnummer på suspekta sajter. Hur bra operativsystem man än har, så hjälper det bara delvis om inte användaren - som i vissa fall har närmast root-behörighet - undviker vissa grundläggande saker.
Jag kör Mac, men det innebär inte att jag inte inser att det finns hot även till den här plattformen. Mina tretton tidigare år på Windows (3.11-XP) lärde mig att vara väldigt misstänksam mot det mesta.
av kiwi, fredag 28 mars 2008 kl 17:36
Hade roligast att läsa phillips inlägg, hela hans värld verkar rasera xD
av furis, fredag 28 mars 2008 kl 17:40
Didrik: Macfloskler? Det mesta som står är detta: "Charlie Miller, Jake Honoroff, and Mark Daniel from Independent Security Evaluators have successfully compromised the Apple MacBook Air."
Vad innebär det då? Peka på en länk då om Du nu vet var det står mer info.
av kiwi, fredag 28 mars 2008 kl 17:40
Phillip, naaaaaaw, så synd att det är verkligeheten.
"Andreas borde få sparken för att posta en sån här nyhet på macfeber", bara för att han posta nått dåligt om apple?
"...utnyttjade en svaghet i Safari..." Det är också en svaghet och inte en funktion.
GAAAAH
av Ewizion, fredag 28 mars 2008 kl 17:46
Inte för att någon här på Feber bryr sig om fakta, men ändå:
"When the three decided to enter the competition a few weeks ago, they began looking for a bug and then spent time refining the attack to ensure it worked well on competition day,"
Med andra ord tog det ett par veckor att hitta buggen, inte 2 minuter.
av Mikamar, fredag 28 mars 2008 kl 17:49
Annars är det rätt underhållande att läsa alla pc-boys som greppar efter alla halmstrån dom kan hitta..
Grattis, nu fick ni iallafall ett.
Håll hårt i det =) så har ni nåt att berätta för era barnbarn.
av fredrikmartins, fredag 28 mars 2008 kl 17:52
Mikamar: Visst gör det skillnad men fortfarande så var det Mac datorn som hackades först.
primebreaks: det är nog mera så att "pc-boysen" kan börja kasta tillbaka lite av all den skit som de fått ta imot från "mac-fanboysen".
Sen tolkar jag Philips inlägg som han är ironisk. Vissa fanboys har en tendens att låta som han annars men han tog det hela till en helt ny nivå. Men var hur som hellst roligt att läsa
av Wayne, fredag 28 mars 2008 kl 18:12
Mikemar
Skriver du inte för MacWorld?
Som för övrigt hade samma nyhet med samma rubrik!
av tobbehj, fredag 28 mars 2008 kl 18:15
Wayne:
Förvisso, dock alltid samma personer som tar sig tid att kommentera, och gör det endast när det ämnet har negativ innebörd gällande apple och dess plattform.. en stilla betraktelse bara.
*orka ge sig in i denna diskussionen*
av fredrikmartins, fredag 28 mars 2008 kl 18:21
kiwi: om du hade läst spelreglerna för tävlingen hade du tex kunnat hitta detta:
To claim a laptop as your own, you will need to read the contents of a designated file on each system through exploitation of a 0day code execution vulnerability.
Dag ett körde de bara remote attacker. Dag två kunde man be en användare att besöka sidor, läsa mail och liknande.
Och sen att OSX inte ska blaimas för att default browsern man får med tillåter remote exploits är ju bara fånigt. Microsoft får skit när IE gör bort sig varför skulle då Apple få samma behandling?
av Didrik, fredag 28 mars 2008 kl 18:26
Mikamar: Ja, att det tog två minuter för funktionären att klicka på en länk var ganska segt.
Nu var det ju dock så att alla lagen hade denna tid på sig att hitta svagheter och buggar. Bara ett operativ fallerade. OSX.
av jeez, fredag 28 mars 2008 kl 18:28
Tro fasen det är lättare att haxxa på OS X än på Vista - koden till basen i Safari och OS X är ju Open Source...
av tva, fredag 28 mars 2008 kl 18:29
Nu blir applarna arga igen :(
av Cure, fredag 28 mars 2008 kl 19:19
I mina ögon finns det säkerhetshål i samtliga webbläsare.
Rent logiskt borde det gå snabbare att hitta okända säkerhetshål i Safari (som bygger på öppen källkod) än i exempelvis Internet Explorer (som har stängd källkod). Fördelen med webbläsare som bygger på öppen källkod är emellertid att det även borde gå snabbare att fixa säkerhetshålen.
Vad som är att föredra beror på vilken filosofi man har. (Själv växlar jag mellan mängder av olika webbläsare beroende på vad jag gör).
tobbehj -> Hade det varit min MW-artikel skulle det ha stått att Safari hackades, inte "Mac". (Men antagligen skulle någon ändra rubben till "Mac hackad" i alla fall med tanke på att det drar fler läsare).
av Mikamar, fredag 28 mars 2008 kl 19:57
Jag förstår mig inte på endel som kommenterar här. På sistone har det blivit ett allmänt nöje att "provocera mac-talibanerna", med kommentarer i stil med
"*Väntar med spänning på bortförklaringar från Apple-fanatikerna*"
"prova att läsa artikeln före du fyller på med dina macfloskler"
osv.
Vad får ni utav att skriva så?
Ni är inte bättre än "mac-talibanera", som ni verkar avsky så mkt. Det verkar som att ni lägger lika mkt energi på att försöka trycka ner talibanerna som de gör för att argumentera för Mac.
Skillnaden är att talibanerna gör det för att de GILLAR mac, och ni för att ni INTE GILLAR talibaner. Bygg era liv på hat och snart finns det koncentrationsläger för mac-talibaner... (ok, ironiskt menat, men ni fattar)
Så, diskutera sakligt, visa respekt (även för "fiender"..) och döm ingen i förväg.
Amen!
av Djur, fredag 28 mars 2008 kl 20:01
Jo, jag försökte bara köra ner den vanliga mac-klyschan i halsen på folk. "Det är inte en bugg, det är en feature"
Prova och säg det tillräckligt många gånger så blir det sant, jag lovar ;)
btw, för 10.000 snabba dollar skulle till och med jag hackat en mac.
av Phillip, fredag 28 mars 2008 kl 21:33
Phillip: Grattis, du lyckades även gestalta den ständigt återkommande kufen som genom satir försöker göra sig lustig över allt som har med Apple att göra.
Börjar det inte bli tröttsamt att använda samma skämt hela tiden?
av Carl Ericsson, fredag 28 mars 2008 kl 22:04
Winblows, börjar det inte bli tröttsamt att trolla varenda jävla Microsoftnyhet?
av Phillip, fredag 28 mars 2008 kl 22:10
Kan inte alla bara kramas och bli sams? Bråkar ni och tjivas med folk som inte delar er smak när det kommer till andra saker också? Varför kan ingen tänka på barnen??
kiwi: Ah, nu är jag med dig. Den sista idioten är inte född så folk kommer tyvärr fortsätta klicka på suspekta länkar och göra rookie-misstag..
av daniel-san, fredag 28 mars 2008 kl 22:16
Djur,
Vi som gillar Macar, men har kvar någon form av kritiskt tänkande irriterar oss otroligt mycket på de bokstavstroende Mac-religiösa som inte tål att det är någonting fel på deras älskade (ingen överdrift) datorer. En hel del av dessa beter sig ofta som om Windows fortfarande fungerade som Win98 och kommer vid första (inte ens bästa) tillfälle med överlägsna uttalanden om hur dåligt Ms/Windows/PC är.
Det är Mac-talibanerna som skapat Mac-talibanhatarna genom att *konstant* tjata om Apples förträfflighet (Vi kan plocka upp lite trådar på PC-feber om du vill ha exempel på trollande från Mac-idioter).
Det "vi" får ut av att gnälla på dem här är att *äntligen* kunde de inte slingra sig ur att Macen faktiskt var tydligt sämre på något, men se inte ens det gick! Då är vi gnälliga och det var nåt fel på reglerna och det tog ju inte bara två minuter och massa annat larv. Ge fan i att kasta så mycket skit i förstaläget (Mactalibaner i allmänhet – inte du, "Djur" – så skall ni se att det blir mindre gnäll tillbaka (För det är väl rätt otvetydigt vem som började kasta?)
Beträffande din ironi så fattar jag inte även om du säger att jag gör det. Mac-talibanerna hatar väl Ms/Windows/PC lika mycket som somliga hatar dem?
av Tiny, fredag 28 mars 2008 kl 23:18
"Det beror väl på att datorn med Vista inte lyckats att starta än.... " HAHAHA!
av maciekish, lördag 29 mars 2008 kl 03:10
Jag skulle påstå att hacket faktiskt tog två minuter att genomföra, att folk hade förberett det hela tidigare. Nåja, komigen, vem här trodde att folk skapade virus och trojaner i realtid räck upp en hand?
av whatever, lördag 29 mars 2008 kl 07:19
Vistaburken blev ägd så fort man la in Flash på den (kommer den verkligen utan?). Alla som inte har Flash installerat räcker upp en hand…
av tva, lördag 29 mars 2008 kl 08:22
Tiny, tack
av Ewizion, lördag 29 mars 2008 kl 09:17
Tiny for president! Det finns helt enkelt för och nackdelar med båda systemen.
av Phillip, lördag 29 mars 2008 kl 11:29
Bra skrivet Tiny. Du satte ord på mina känslor...
av Wayne, lördag 29 mars 2008 kl 11:43
Det är väl bra att Apple fick lite på nöten här! känns som dom levt lite på sin egen myt, när det sker så är man farligt ute. Hoppas att Apple tar detta på högsta allvar. Apple kanske borde börja med att anställa den där killen, det är inte första gången han knäcker något från apple, han är väl lite av Apple svar på DVD jon.
av Charlie Bravo, lördag 29 mars 2008 kl 12:26
whatever: tänkte också på det. Man hittar inte en exploit så fort, antingen har de förberett sig länge eller så tog de någon som redan var i omlopp, men som inte hunnit bli patchad än.
av Killen, lördag 29 mars 2008 kl 12:31
Tur att jag inte kör safari då :D
av kainen.se, lördag 29 mars 2008 kl 13:37
Tiny, är du 3 år gammal eller? (Han sa det först så det e helt ok för mig att göra likandant).
VÄX UPP FÖR FAN! det gäller 90% av dom som skriver här.
av kainen.se, lördag 29 mars 2008 kl 13:48
Kaninen - moget med personangrepp, har du inga vettiga argument att komma med eller? Väx upp förfan!
av Phillip, lördag 29 mars 2008 kl 19:52
Kaninen.se,
Nej – 33. Vad fick dig att dra slutsatsen att jag skulle vara i förskoleåldern?
av Tiny, lördag 29 mars 2008 kl 21:51
Feber, borde ni inte stänga av kommentarerna på en såndär här nyhet. Dels för att ni vet att det kommer skriva spalter av kommentarer som 55% är irrelevanta till själva artikeln. Dels för att det blir oftast person angrepp. och dels för att kriget mellan PC och Mac användarna hetsar till.
Men feber kanske vill ha ordkrig mellan PC och Mac användarna. Inte vet jag.
Winblows: Äsch, adblockar man bort annonserna behöver man inte bry sig om sånt.
av apa, söndag 30 mars 2008 kl 14:48
sitter och funderar vart alla anonser är? jag använder ingen adblocker så jag borde se anonserna....
av syntax.error.83, söndag 30 mars 2008 kl 18:58
Apa,
Visst, men Feber jobbar likväl för att få fler sidträffar även om du blockerar annonserna.
av Tiny, söndag 30 mars 2008 kl 22:59
Pinsamt Apple!
...PS. Jag gillar Apple.
av lebonbon, måndag 31 mars 2008 kl 09:18
...en dator är en dator oavsett om det är en pc eller mac... och dom båda blir bara mer och mer lika varandra... punkt...
av ---justin---, måndag 31 mars 2008 kl 12:58
Kommentera artikeln
+
Per månad
39 kr
Betala löpande per månad. Ingen bindningstid.
Starta prenumeration
Per år
299 kr
Enklast och billigast, bara 25 kronor i månaden. Betala löpande per år. Ingen bindningstid.
Prova 14 dagar gratis innan du bestämmer dig.
Starta gratis provperiod
Engångsköp
349 kr
Slipp återkommande betalningar, betala ett år i taget. Betala med kort eller Swish.
Köp utan prenumeration
