Komputer Mac selalu dianggap, setidaknya penggunanya, menjadi kebal terhadap virus, malware, spyaware dan metode lain untuk menginfeksi peralatan komputer. Ini tidak terjadi, karena satu-satunya alasan peretas menargetkan Windows, dan bukan OS X / macOS, adalah karena pangsa pasarnya di seluruh dunia.
Faktanya, dalam beberapa tahun terakhir, semakin umum untuk melihat caranya macOS dipengaruhi oleh jenis perangkat lunak ini, yang ingin mendapatkan data kami, melacak aktivitas kami atau bahkan mengenkripsi konten seluruh komputer kami dengan imbalan tebusan (ransomware). Berbicara tentang keamanan dan macOS, sekelompok peretas melakukan dua eksploitasi zero-day di Safari Zero Day Initiative yang diadakan di Vancouver.
Eksploitasi zero-day adalah yang telah ada di aplikasi dari versi terakhirnya, tanpa diketahui pengembang kapan pun. Kedua eksploitasi dapat digunakan untuk meningkatkan hak istimewa di macOS hingga mendapatkan kontrol penuh.
Eksploitasi pertama ayo lompat di kotak pasir, perlindungan yang digunakan macOS untuk memastikan bahwa aplikasi hanya memiliki akses ke datanya sendiri atau data sistem apa pun yang diizinkan Apple. Melalui eksploitasi ini, Anda dapat mengakses informasi apa pun yang kami simpan di komputer kami melalui browser Safari. Eksploitasi ini telah ditemukan oleh Amat Cama dan Richard Zhu yang telah memperoleh harga 55.000 dolar.
Eksploitasi kedua bahkan lebih berbahaya, karena memungkinkan dapatkan akses root dan kernel dari Mac, memungkinkan Anda untuk mengambil kendali penuh atas tim. Eksploitasi kedua ini telah ditemukan oleh @_niklasb @qwertyoruiopz dan @bkth_ yang dengannya mereka berhasil mendapatkan $ 45.000.
Safari selalu itu telah menjadi salah satu titik akses utama bagi peretas. Selama setahun terakhir, selama kompetisi yang telah diadakan di Vancouver di mana dua eksploitasi baru ini telah terdeteksi, peretas lain mendeteksi eksploitasi lain yang memungkinkan mereka untuk mengambil kendali Touch Bar di MacBook Pro, inilah yang paling menuntut perhatian dari 3 lainnya yang juga terdeteksi di browser Apple.
Acara ini, disponsori oleh Trend Micro dan disebut Zero Day Initiave (ZDI), dibuat untuk memotivasi peretas untuk melaporkan kerentanan yang biasanya mereka deteksi daripada menjualnya kepada pihak ketiga, meskipun itu adalah cara terbaik untuk mendapatkan lebih banyak uang daripada melalui hadiah ini, yang jumlahnya meningkat setiap tahun.