¿Quién dijo que un Mac no se puede hackear?

Los Mac siempre han tenido fama de ser de los ordenadores más seguros. Gracias a su robusto sistema operativo, los usuarios de equipos de Apple presumían de estar blindados, pero unos hackers acaban de demostrar, una vez más, que la seguridad absoluta es cosa de ficción.

El año pasado, la compañía de la manzana lanzó al mercado su último Pro MacBook, entre cuyas novedades destacaba la sustitución de toda la fila de teclas superior, en la que se situaban históricamente las teclas de funciones, por una delgada pantalla táctil. Fue lo que llamaron la Touch Bar (barra táctil).

Se presentó a los usuarios como la gama más ambiciosa tanto en prestaciones como en precio. Esta pantalla OLED ofrece las diferentes opciones de control y función, apareciendo las que mejor se adecúen a las aplicaciones que estemos utilizando en ese preciso momento. Para los que sean de los que sufren resistencia al cambio, Apple ofrece una tecla con la que es posible reestablecer la línea de teclas de funciones en la Touch Bar.

¿Qué han hecho estos ingeniosos hackers? Hackear, precisamente, esa Touch Bar. Lo han hecho en el marco del Pwn2Own, un prestigioso concurso de hacking que viene celebrándose desde 2007.

Los hackers independientes Samuel Groß y Niklas Baumstark consiguieron acceso al núcleo del sistema operativo Mac OS a través del navegador Safari, que es en realidad lo hackeado, su puerta de entrada. Una vez dentro del sistema, secuestrar la Touch Bar no resultó tan sencillo como algunos informes quieren hacer ver… pero lo consiguieron, haciéndose con el premio de 28.000 dólares.

Fue necesario encadenar hasta cinco incursiones diferentes a través de múltiples brechas de seguridad del sistema para secuestrar la Touch Bar. Para l@s lector@s más técnicos, combinaron un UAF (use-after-free) en Safari con tres bug lógicos y un null pointer dereference.

Un trabajo arduo para el cual los deberes no se hicieron únicamente durante el concurso, sino que existía mucho trabajo previo. El usuario hackeado podía ver, sorprendido, un mensaje en el que se anunciaba el secuestro de la banda táctil.

¿Benefician o perjudican concursos de este tipo que revelan vulnerabilidades que previamente no eran conocidas? Benefician, sin duda, porque ante la evidencia de riesgos de seguridad, los fabricantes –y Apple no es una excepción- se ponen las pilas resolviendo estas brechas en sus productos.

Safari no tuvo su día: hasta nueve vulnerabilidades fueron detectadas durante el concurso. El resto de usuarios y desarrolladores de navegadores que no lancen las campanas al vuelo, que salvo Chrome, que consiguió salir intacto de Pwn2Own 2017, el resto cayó.

Edge, el navegador de Windows 10, fue hackeado hasta el punto de que los artistas del código pudieron tomar el control absoluto de la máquina. En cuanto a Firefox, únicamente tuvo dos intentos de hackeo; de uno se libró pero en el segundo cayó con todo el equipo. Fabricantes, ¡manos a la obra para blindar a los usuarios! El navegador es la puerta de entrada a la red.