Miguel López
EditorPwn2Own no es un evento desconocido para nosotros. Varios hackers se reúnen en él cada año con el objetivo de intentar sortear las últimas medidas se seguridad de todos los sistemas operativos más usados, incluyendo macOS. Y cada año consiguen controlar los permisos de administrador en un Mac, lo que permite que Apple localice y solucione más fácilmente sus vulnerabilidades.
Y este año no ha sido una excepción. Pwn2Own celebra su décimo aniversario desde Vancouver, y sus concursantes han logrado conseguir acceso de administrador en macOS Sierra a través de una vulnerabilidad de Safari. Incluso han podido presumir de ello con la guinda de dejar un mensaje en la Touch bar del MacBook Pro.
Hackear para mejorar
Los expertos que han conseguido esto no lo han tenido fácil. El acceso lo han conseguido combinando seis vulnerabilidades del navegador, siendo uno de ellos un Use After Free que se aprovecha de una gestión defectuosa de la memoria libre para ejecutar código arbitrario dentro de Safari. El premio por la hazaña: 35.000 dólares.
¿Qué beneficios tienen eventos como estos? Pues muchos: la idea no es ni de lejos querer perjudicar a las compañías de software sino todo lo contrario. Los expertos y hackers que acuden al evento tienen claro que ayudan a las compañías a mejorar sus protocolos de seguridad, y Apple queda beneficiada porque aprende a ver cómo macOS puede quedar expuesto a ataques. Y cómo no, lo soluciona en una futura actualización de seguridad.
Otros productos de software que han sido vulnerados con éxito son Ubuntu Linux, el navegador Microsoft Edge y Adobe Reader.
En Applesfera | Jonathan Zdziarski, el experto en seguridad que defendió a Apple ante el FBI, se une a la empresa
Ver 6 comentarios
6 comentarios
zgqsozsg
Este es el artículo perfecto para homenajear ( entre otros ) al usuario carlosburgossanz, que nos deleita con comentarios muy sesudos tipo:
"El sistema cerrado de Apple permite esto: que sea imposible hackear uno de sus dispositivos."
"MacOS es el sistema operativo más seguro del mundo, y su seguridad radica en la App Store."
"Los sistemas abiertos, tan demandados por una multitud que lucha con sistemas fragmentados como Windows y Android, tienen multitud de puertas traseras por las que se cuela todo tipo de malware, troyanos, virus y el copón."
... Un tipo grande sin duda.
Uti
Lástima que no le haya dado a ninguno por sacar un jailbreak untethered para iOS 10.3
comandillos
Seis vulnerabilidades del navegador. Es de risa. Use after free....
Mirad, esto ya no es un caso aislado. WebKit es una vergüenza de motor, y no esta provocando problemas a Apple solamente. Ha provocado fallos de seguridad en todos sitios (PS4, Wii U, Nintendo Switch, PSVita, iOS...) y todo por su culpa.
Que Apple siga utilizando este motor denota mucho de los intereses que tienen. Google pasó de este tipo de problemas y tiró de hacerse un fork para corregir cosas con intereses propios con Blink, Mozilla incluso dio un paso que ninguno ha dado, y ha creado un lenguaje que evita problemas típicos como este (Rust) con el que esta desarrollando el nuevo Firefox, y bueno, Opera tiró de utilizar un motor ya existente y centrarse en funcionalidad extra.
Que WebKit sea open source no ha ayudado demasiado a que esto haya tenido una solución sencilla, de hecho, por desgracia, ha provocado mas problemas que soluciones, ya que cualquiera que necesite un navegador, usa WebKit.
Apple. Por favor, deja ya WebKit. Haz que pase a mejor vida ya.