Els ordinadors Mac sempre han presumit, almenys els seus usuaris, de ser immunes als virus, malware, spyaware i altres mètodes per infectar equips informàtics. Això no és així, ja que lúnic motiu perquè els hackers shan centrat en Windows, i no en OS X/ macOS és per la seva quota de mercat a tot el món.
De fet, en els darrers anys, cada cop és més habitual veure com macOS es veu afectat per aquest tipus de programari, que vol fer-se amb les nostres dades, rastrejar la nostra activitat o fins i tot xifrar el contingut de tot el nostre equip a canvi d'un rescat (ransomware). Parlant de seguretat i de macOS, un grup de hackers dos exploits zero-day a Safari Zero Day Initiative celebrada a Vancouver.
Els exploits tipus zero-day són aquells que han estat presents a l'aplicació des de la versió final, sense que en cap moment el desenvolupador en tingués coneixement. Ambdós exploits poden ser utilitzats per escalar privilegis a macOS fins arribar a fer-se amb el seu control totalment.
El primer exploit permet saltar-se a sandbox, una protecció que macOS utilitza per assegurar-se que les aplicacions només tenen accés a les vostres pròpies dades oa qualsevol dada del sistema que Apple permeti. A través d'aquest exploit es pot accedir a qualsevol informació que tinguem emmagatzemada al nostre equip a través del navegador Safari. Aquest exploit ha estat descobert per Amat Cama i Richard Zhu els qui han obtingut un preu de 55.000 dòlars.
El segon exploit és encara més perillós, ja que permet obtenir accés root i nucli d'un Mac, permetent prendre un control total d'un equip. Aquest segon exploit ha estat descobert per @_niklasb @qwertyoruiopz i @bkth_ amb què han aconseguit fer-se amb 45.000 dòlars.
Safari sempre ha estat un dels principals punts d'accés per als hackers. Durant l'any passat, durant la competició que s'ha celebrat a Vancouver on s'han detectat aquests dos nous exploits, altres hackers van detectar un altre exploit que permetia aconseguir el control de la Touch Bar als MacBook Pro, sent aquest el que més atenció va reclamar dels altres 3 que també es van detectar al navegador d'Apple.
Aquest esdeveniment, patrocinat per Trend Micro i denominat Zero Day Initiave (ZDI) va ser creat per motivar els hackers perquè reportin les vulnerabilitats que detecten habitualment en lloc de vendre-les a tercers, encara que és la millor manera d'obtenir molts més diners que a través d'aquests premis, la quantia dels quals es va incrementat cada any.