MacBook in 9 uur gehackt

Tijdens de tweedaagse 'PWN to Own" hack-a-Mac wedstrijd in het Canadese Vancouver konden hackers bewijzen hoe goed ze waren. Het lukte een team om één van de twee MacBooks in 9 uur te hacken door middel van een zero-day lek in Apple's Safari-browser te misbruiken.

Macaulay hackte de MacBook met hulp van Dino Dai Zovi, een beveiligingsonderzoeker die al eerder gaten wist te vinden in software van Apple. Zovi wist dat er een lek zat in Safari dat, middels een speciaal daarvoor geprogrammeerde webpagina, misbruikt kan worden.

De hack-a-Mac wedstrijd bestaat uit twee MacBooks die ieder een eigen accesspoint hebben en waar alle beveiligingsupdates van Apple op zijn geïnstalleerd. Op de Macs is geen aanvullende beveiligingssoftware geïnstalleerd. Deelnemers konden via de accesspoints toegang krijgen tot de computers door middel van Ethernet of WiFi.

De wedstrijd bestond uit twee gedeeltes. Het eerste gedeelte was het vinden van een lek waardoor een hacker een shell met gebruikersrechten kon creëren. In het tweede gedeelte moesten de hackers nogmaals een lek vinden maar dan tot de root van de computer. Het lukte hackers niet om de tweede MacBook te hacken voordat de tweede dag van de wedstrijd over was.

Apple-woordvoerster Lynn Fox gaf de standaard reactie op de gehackte MacBook: "Apple neemt beveiliging zeer serieus en het bedrijf heeft altijd potentiële zwakheden weten op te lossen voordat gebruikers er last van hadden."