Hoe hard ze bij Apple ook hun best doen, beveiligers en hackers zullen altijd een kat-en-muis spel blijven spelen. Dat werd gisteren nog eens bevestigd tijdens de Pwn2Own Hacking Contest, waar Jack Dates van RET2 een kernel zero-day exploit van Safari liet zien, en zo 100.000 dollar opstreek.

In de .gif in de tweet hieronder kan je de hack in actie zien, hoewel je wel iets van hacking moet begrijpen om door te hebben wat er gebeurt. De korte versie is dat de hacker hier met zijn code via Safari toegang krijgt tot de kernel van het systeem, waarna je met je eigen code toegang tot het systeem hebt. De hacks van de Pwn2Own Hacking Contest worden trouwens met de fabrikanten gedeeld, Apple zal dit gat in de komende tijd ongetwijfeld dichten.

Congratulations Jack! Landing a 1-click Apple Safari to Kernel Zero-day at #Pwn2Own 2021 on behalf of RET2: https://t.co/cfbwT1IdAt pic.twitter.com/etE4MFmtqs

— RET2 Systems (@ret2systems) April 6, 2021

Het viel trouwens op dat Apple’s devices dit jaar relatief weinig aandacht kregen, andere hacks waren er onder andere van Google Chrome, Oracle VirtualBox, Parallels, Windows 10, Ubuntu, Zoom, Microsoft Edge, Microsoft Exchange, Microsoft Teams en Zoom.

Nederlandse hack van Zoom

De hack van Zoom kwam trouwens van de Nederlanders Daan Keuper en Thijs Alkemade. Hun hack gebruikte drie verschillende kwetsbaarheden in de software en konden zo een PC met daarop Zoom draaiend volledig overnemen, zonder dat daar interactie van een gebruiker bij nodig was.

We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW

— Zero Day Initiative (@thezdi) April 7, 2021

 #Safari

Zoals te zien in de GIF, traditiegetrouw wordt de Calculator app opgestart, om aan te tonen dat men de controle over het systeem heeft.