Pwn2Own no es un evento desconocido para nosotros. Varios hackers se reúnen en él cada año con el objetivo de intentar sortear las últimas medidas se seguridad de todos los sistemas operativos más usados, incluyendo macOS. Y cada año consiguen controlar los permisos de administrador en un Mac, lo que permite que Apple localice y solucione más fácilmente sus vulnerabilidades.
Y este año no ha sido una excepción. Pwn2Own celebra su décimo aniversario desde Vancouver, y sus concursantes han logrado conseguir acceso de administrador en macOS Sierra a través de una vulnerabilidad de Safari. Incluso han podido presumir de ello con la guinda de dejar un mensaje en la Touch bar del MacBook Pro.
Hackear para mejorar
Los expertos que han conseguido esto no lo han tenido fácil. El acceso lo han conseguido combinando seis vulnerabilidades del navegador, siendo uno de ellos un Use After Free que se aprovecha de una gestión defectuosa de la memoria libre para ejecutar código arbitrario dentro de Safari. El premio por la hazaña: 35.000 dólares.
¿Qué beneficios tienen eventos como estos? Pues muchos: la idea no es ni de lejos querer perjudicar a las compañías de software sino todo lo contrario. Los expertos y hackers que acuden al evento tienen claro que ayudan a las compañías a mejorar sus protocolos de seguridad, y Apple queda beneficiada porque aprende a ver cómo macOS puede quedar expuesto a ataques. Y cómo no, lo soluciona en una futura actualización de seguridad.
Otros productos de software que han sido vulnerados con éxito son Ubuntu Linux, el navegador Microsoft Edge y Adobe Reader.
En Applesfera | Jonathan Zdziarski, el experto en seguridad que defendió a Apple ante el FBI, se une a la empresa
Ver 6 comentarios