Хакеры взломали Touch Bar новых MacBook Pro

| 6 012
FavoriteLoading В закладки
Хакеры взломали Touch Bar новых MacBook Pro

В рамках ежегодного хакерского конкурса Pwn2Own разработчики нашли уязвимости в Safari и Touch Bar новых MacBook Pro. Благодаря более чем 10 «дыркам» хакеры получили права суперпользователя в macOS. За это они получили $63 000.

Браузер Safari был взломан дважды разными способами. Первой удачную атаку осуществила команда Сэмюэла Гросса и Никласа Баумстарка. Используя пять уязвимостей, им удалось вывести сообщение на сенсорную панель Touch Bar.

IMG_0479

Второй командой, получившей доступ к панели макбуков, оказалась китайская Chaitin Technology. Она также эксплуатировала ряд уязвимостей, позволивших выполнить произвольный код под правами суперпользователя.

Команда Гроса и Баумстарка получила $28 000, а Chaitin Technology — $35 000. Весь фонд соревнований составил $1 млн. [DigitalTrends]

LIVE-новости Apple: Facebook, ВКонтакте и Telegram


Хочешь получать от нас новости Apple? Да | Нет

undefined
iPhones.ru
За это они получили $63 000.
Прокомментировать

🙈 Комментарии 13

  1. zenya2014 avatar
    zenya201417 марта в 19:45
    0

    Ну и зачем стараться было? Порнокартинки и требования о разблокировке туда выводить?
    Одни непонятно зачем эту панель придумали, другие непонятно зачем ломают

    DomenER avatar
    DomenER17 марта в 20:18
    6

    @zenya2014, критиковать легко когда сам ничего не умеешь делать. На touch bar есть touchId если вы забыли… и права суперпользователя можно использовать не только для контроля touch bar.

    Soren Vakarian avatar
    Soren Vakarian18 марта в 1:31
    2

    @DomenER, что-то мне подсказывает, что TouchBar и TouchID — совершенно не связанные устройства, лишь расположившиеся рядом.

    creker avatar
    creker18 марта в 2:23
    2

    @zenya2014, а другие не понимают, что читают. Если они вывели сообщение на панель, что является просто красивым способом демонстрации результата, то это означает уязвимость повышения привилегий. Это может быть рут, а может быть вообще ядро. Тачбар могли сломать как раз через его драйвер, что для макоси не редкость.

  2. Сидор Сидорович17 марта в 19:48
    0

    Щас бы Touch Bar в 2к17 взломать …
    Идиотизм в этом мире с каждым новым днём крепчает …

    Dmitriy Tsvetkov18 марта в 8:44
    0

    @Сидор Сидорович, главная опасность 2017 года – это такие идиоты, как ты, не способные к оценки причинно-следственных связей, но всюду громко заявляющие о собственном мнении.

  3. VsG avatar
    VsG17 марта в 20:19
    1

    Джеил есть?

  4. joker2k2 avatar
    joker2k217 марта в 20:28
    0

    браузер работает от пользователя. как они ломая его умудряются поднимать привелегии? т.е. дыра не только в браузере, а еще и в самой macos.

    DomenER avatar
    DomenER17 марта в 20:31
    0

    @joker2k2, изучайте материалы Wikileaks’s и материалы успешных атак, и может поймёте.

    joker2k2 avatar
    joker2k217 марта в 20:32
    0

    @DomenER, а смысл? дыры уже закрыты, раз за это бабло получено.

    tty01 avatar
    tty0117 марта в 20:37
    0

    @joker2k2, закрыты не все

    creker avatar
    creker18 марта в 2:19
    1

    @joker2k2, раз тут речь про touchbar, то возможно проблема в драйверах. Как это обычно бывает, браузер используется для доступа в систему, где дальше посылаются системные вызовы в ядро для эксплуатации уязвимости в его компонентах, чтобы получить привилегии ядра и поиметь уже всю систему. Так же вызовы могли посылаться какому-то демону, у которого уже есть рутовые права. Уязвимость в нем и привилегии твои.

    Тут же в новости и написано, что использовано сразу несколько уязвимостей. Современные системы обычно уже невозможно просто одним махом сломать. Нужна цепочка эксплоитов для обхода каждого уровня защиты.

    joker2k2 avatar
    joker2k218 марта в 12:07
    0

    @creker, ну я и написал что проблема не только в браузере, очевидно

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь