Un par de investigadores de seguridad han hackeado con éxito un Mac perteneciente al multimillonario productor de cine Jeffrey Katzenberg, lo que demuestra que poseer un dispositivo macOS no es una defensa automática contra las amenazas cibernéticas.
Rachel Tobac, ingeniera social y CEO de SocialProof Security, llevó a cabo con éxito el ataque contra el dispositivo macOS no especificado. Según Tobac, el ataque fue una demostración realizada para la empresa de protección contra robos Aura, una empresa en la que Katzenberg invierte.
We just hacked a billionaire!
— Rachel Tobac (@RachelTobac) March 16, 2022
Got consent 1st then got to work hacking Jeffrey Katzenberg. @Evantobac & I stole his pics, emails, and contacts then turned on his mic (without an indicator light) & listened to his phone calls.
Here's the video on how we hacked a billionaire: pic.twitter.com/t63JJQccIr
Tobac aprovechó una vulnerabilidad y habilidades de ingeniería social para que Katzenberg hiciera clic en un enlace de phishing en un sitio web falsificado. Una vez que Katzenberg lo hizo, pudo robar fotos, correos electrónicos y contactos del Mac.
Además, el hacker pudo encender el micrófono del Mac y espiar Katzenberg sin activar el indicador de micrófono macOS integrado.
El marido de Tobac, Evan, también hacker e investigador de seguridad, publicó otro hilo de Twitter con detalles sobre la vulnerabilidad de macOS.
This attack worked because Jeffrey's OS/browser were out of date by close to 4 months.
4 months was enough for detailed descriptions of the vulnerabilities to become public, for me to read about them and incorporate them into an attack.
This is a good segue into mitigations.— Evan Tobac (@evantobac) March 16, 2022Trending
El exploit se construyó sobre la base de la investigación de Ryan Pickren, que se hizo notable cuando se le pagaron 100.500 dólares por descubrir un error de Safari Universal Cross-Site Scripting.
Más específicamente, el exploit aprovechó el error subyacente para llevar a cabo un ataque utilizando los enlaces de iCloud y las preferencias de uso compartido de Safari. Es importante destacar que el ataque solo funcionó porque el Mac de Katzenberg estaba desactualizado por varias actualizaciones.
Según ambos Tobacs, algunas mitigaciones para el ataque específico incluyen mantener las máquinas parcheadas con las últimas actualizaciones de seguridad, utilizar al menos dos métodos de verificación para las comunicaciones y evitar hacer clic en enlaces de correo electrónico sospechosos, especialmente si se envían de manera urgente.