В рамках ежегодного хакерского конкурса Pwn2Own разработчики нашли уязвимости в Safari и Touch Bar новых MacBook Pro. Благодаря более чем 10 «дыркам» хакеры получили права суперпользователя в macOS. За это они получили $63 000.
Браузер Safari был взломан дважды разными способами. Первой удачную атаку осуществила команда Сэмюэла Гросса и Никласа Баумстарка. Используя пять уязвимостей, им удалось вывести сообщение на сенсорную панель Touch Bar.
Второй командой, получившей доступ к панели макбуков, оказалась китайская Chaitin Technology. Она также эксплуатировала ряд уязвимостей, позволивших выполнить произвольный код под правами суперпользователя.
Команда Гроса и Баумстарка получила $28 000, а Chaitin Technology — $35 000. Весь фонд соревнований составил $1 млн. [DigitalTrends]
Ну и зачем стараться было? Порнокартинки и требования о разблокировке туда выводить?
Одни непонятно зачем эту панель придумали, другие непонятно зачем ломают
@zenya2014, критиковать легко когда сам ничего не умеешь делать. На touch bar есть touchId если вы забыли… и права суперпользователя можно использовать не только для контроля touch bar.
@DomenER, что-то мне подсказывает, что TouchBar и TouchID — совершенно не связанные устройства, лишь расположившиеся рядом.
@zenya2014, а другие не понимают, что читают. Если они вывели сообщение на панель, что является просто красивым способом демонстрации результата, то это означает уязвимость повышения привилегий. Это может быть рут, а может быть вообще ядро. Тачбар могли сломать как раз через его драйвер, что для макоси не редкость.