„Mac“ kompiuteriai visada gyrėsi, bent jau jų vartotojai, esantys atsparus virusams, kenkėjiškoms programoms, šnipinėjimo programoms ir kitais būdais užkrėsti kompiuterinę įrangą. Taip nėra, nes vienintelė priežastis, dėl kurios įsilaužėliai sutelkė dėmesį į „Windows“, o ne į „OS X“ / „macOS“, yra jos rinkos dalis visame pasaulyje.
Tiesą sakant, pastaraisiais metais vis dažniau pastebima, kaip „macOS“ veikia šio tipo programinė įranga, kuri nori perimti mūsų duomenis, sekti mūsų veiklą ar net užšifruoti viso mūsų kompiuterio turinį mainais į išpirką (ransomware). Kalbant apie saugumą ir „macOS“, įsilaužėlių grupė Vankuveryje vykusioje „Safari Zero Day Initiative“ iniciatyvoje panaudojo du nulinės dienos išnaudojimus.
Nulinės dienos išnaudojimai yra tie, kurie buvo programoje nuo galutinės versijos, kūrėjui apie tai nežinant bet kada. Abu išnaudojimai gali būti naudojami norint padidinti „macOS“ privilegijas, kol įgysite visišką kontrolę.
Pirmasis išnaudojimas leidžia šokinėti smėlio dėžėje, apsauga, kurią „macOS“ naudoja siekdama užtikrinti, kad programos turėtų prieigą tik prie savo duomenų arba bet kokių sistemos duomenų, kuriuos leidžia „Apple“. Per šį išnaudojimą bet kokia informacija, kurią išsaugojome savo kompiuteryje, gali būti pasiekiama per „Safari“ naršyklę. Šį išnaudojimą atrado Amat Cama ir Richard Zhu, kurie gavo 55.000 XNUMX USD kainą.
Antrasis išnaudojimas yra dar pavojingesnis, nes leidžia gauti root ir branduolio prieigą „Mac“, leidžianti visiškai kontroliuoti komandą. Šį antrąjį išnaudojimą atrado @_niklasb @qwertyoruiopz ir @bkth_, su kuriais jiems pavyko gauti 45.000 XNUMX USD.
Safari visada Tai buvo vienas pagrindinių įsilaužėlių prieigos taškų. Praėjusiais metais Vankuveryje vykusiame konkurse, kuriame buvo aptikti šie du nauji išnaudojimai, kiti įsilaužėliai aptiko dar vieną išnaudojimą, leidusį perimti MacBook Pros jutiklinės juostos valdymą, kuri sulaukė daugiausiai dėmesio. iš kitų 3 kurie taip pat buvo aptikti „Apple“ naršyklėje.
Šis renginys, remiamas Trend Micro ir pavadintas Zero Day Initiative (ZDI), buvo sukurtas tam skatinti įsilaužėlius pranešti apie pažeidžiamumą kuriuos dažniausiai aptinka, o ne parduoda trečiosioms šalims, nors tai yra geriausias būdas gauti daug daugiau pinigų nei per šiuos prizus, kurių suma kasmet didėja.