El pasado 23 de octubre del 2017, Apple liberó la nueva versión de su sistema operativo: MacOS High Sierra, y el día de hoy 28 de noviembre el usuario @lemiorhan reporta a @apple a través de su cuenta de Twitter que “ha encontrado una vulnerabilidad que permite iniciar sesión como root, simplemente haciendo click varias veces en el botón de iniciar sesión”.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as “root” with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017
De nuestro lado hicimos la prueba, y desafortunadamente sí funciona la vulnerabilidad reportada por @lemiorhan.
Además, encontramos este video que subió a YouTube Román Loyola del portal MacWorld.com, donde muestran el bug:
¿Qué es el usuario root?
En los sistemas operativos Mac, root es un “super usuario” con acceso a las zonas más delicadas y profundas de un sistema, ya que tiene acceso total a éste. Por lo regular, solo los Administradores de sistemas utilizan root.
Y es un bug o vulnerabilidad, porque es un fallo en el comportamiento que se esperaría en un sistema, ya que el acceso como root debería estar protegido con una contraseña fuerte. O al menos una. Cualquiera. La que sea, tipo 123456… ¿qwerty? ¿password? ¿admin? … ¡¡¿Naaadaaa?!!
¿Cómo me afecta?
Hasta este momento, no se ha reportado que un usuario normal que navega por internet pueda verse afectado por esta vulnerabilidad.
Sin embargo, si estás en una red dentro de tu oficina o CoWork, es importante que te protejas porque cualquiera que esté frente a tu computadora podría usar este fallo para iniciar sesión en tu equipo, así que cuanto antes sugiero que soluciones este bug con las instrucciones que te menciono enseguida.
¿Cómo solucionar este bug?
Afortunadamente Hypertextual comparte una forma de solucionar esta vulerabilidad, y es muy rápido aplicarlo ya que no requieres de conocimientos técnicos:
- Activa la ventana de “Spotlight” presionando simultáneamente las teclas “Comando” + “barra espaciadora” o presiona en el ícono de búsqueda en la esquina superior derecha de la pantalla.
- Escribe: “Utilidad de Directorios” y presionar tecla “Enter”
- Cuando la aplicación haya abierto, haz clic en el ícono del candado y a continuación introduce el nombre y contraseña de un usuario con privilegios de administrador (muy probablemente tu ya lo seas).
- En la barra de menús ve a “Editar” y selecciona: “Cambiar contraseña root.”
- En caso que la opción no esté disponible, selecciona “Activar usuario root” y el sistema te pedirá una contraseña.
- Guarda muy bien ésta contraseña de root, porque la vas a necesitar en el futuro en caso de que desees iniciar sesión como root.
- En caso que al seleccionar “Activar usuario root” no pida elegir una contraseña, vuelve al menú “Activar” y selecciona “Cambiar contraseña root”.
Las burlas no tardaron en aparecer.
“I doubt it. They’re too busy adding emojis and shoehorning Siri into MacOS to notice actual problems.”
“Lo dudo. Están demasiado ocupados añadiendo emojis y calzando a Siri en MacOS para detectar problemas reales.”
Datos sobre macOS High Sierra:
macOS High Sierra es la decimocuarta versión de macOS, el sistema operativo de Apple para sus ordenadores de escritorio, portátiles y servidores Macintosh. Es la segunda versión del sistema operativo tras el cambio de denominación de OS X a macOS.
Lanzamiento inicial: 23 de octubre de 2017
Fuente: Wikipedia.
