Anche la Touch Bar dei nuovi MacBook Pro potrebbe diventare vittima dell’attacco di malintenzionati. È quanto hanno dimostrato una coppia di hacker all’ultimo Pwn2Own, il noto happening sulla sicurezza in corso di svolgimento in questi giorni a Vancouver, sfruttando una vulnerabilità di Safari. Quanto è bastato loro per vincere un premio di ben 28.000 dollari.
La Touch Bar dei nuovi MacBook Pro è gestita dal chipset T1 di Apple, lanciato a fine 2016 dal gruppo di Cupertino in concomitanza con i nuovi laptop professionali. Per funzionare, inoltre, sembra che la barra interattiva sfrutti una versione modificata di watchOS, il sistema operativo di Apple Watch, non solo per gestire lo schermo più grande, ma anche il lettore di impronte digitali Touch ID e la fotocamera frontale del computer. Sfruttando sapientemente una vulnerabilità di Safari, tuttavia, sarebbe possibile accedere da remoto al dispositivo, alterandone le funzionalità.
L’exploit è stato reso possibile grazie al lavoro di Samuel Groß e Niklas Baumstark, i quali sono riusciti a entrare in un Mac sfruttando la vulnerabilità del browser, per poi mostrare sulla Touch Bar la scritta “pwned by niklasb and saelo”. Fortunatamente, Apple ha già provveduto a chiudere la falla in questione nelle ultime versioni di macOS, ma questo non ha reso meno importante il lavoro della coppia di sviluppatori, pronta ad assicurarsi un premio di 28.000 dollari per la geniale intuizione.
[embed_twitter]https://twitter.com/iTech911/status/842475312457867265[/embed_twitter]
Considerato come si tratti di un exploit sfruttato all’interno di un contest, gli utenti non devono temere di ritrovarsi con una Touch Bar completamente inutilizzabile, anche perché Apple ha già provveduto a ristabilirne la sicurezza. In ogni caso, non si può escludere non vengano trovati sistemi analoghi in futuro. Pwn2Own quest’anno vede la distribuzione di oltre 1 milione di dollari in premi e, oltre ai sistemi Apple, sotto osservazione vi sono i kernel Linux, il browser Edge di Microsoft e molto altro ancora.