Error de Mac OS High Sierra permite que cualquiera acceda a tu Mac

Malas noticias para los usuarios de Mac OS High Sierra, ya que un nuevo agujero de seguridad del sistema operativo permite que cualquiera pueda realizar cambios al computador con solo introducir el nombre de usuario “root” y dejar en blanco la casilla de la contraseña.

Un desarrollador turco de nombre Lemi Orhan descubrió el fallo y lo hizo evidente en Twitter. De acuerdo con Lemi, al acceder a la sección de Usuarios y Grupos en las opciones del sistema operativo, es posible realizar cambios con el nombre de usuario “root” sin problema alguno.

Para tener una idea de lo grave de este problema, macOS tiene un candado de seguridad en esa y muchas opciones del sistema, el cual requiere el nombre de usuario y contraseña para desbloquear ciertas opciones y hacer cambios. El hecho de poder desbloquear con root permitiría realizar cambios a usuarios existentes, como bajarlos de nivel, cambiarles la contraseña o inlcuso eliminar su cuenta del sistema (borrando toda la información).

Al parecer esto fue documentado previamente dentro del foro de desarrolladores de Apple, en donde un usuario reportó no poder ajustar los privilegios de antiguas cuentas de administrador en High Sierra, a lo que otro desarrollador sugirió usar la solución del “root” sin contraseña para realizar el cambio dentro del sistema operativo.

De acuerdo con Patric Wardle, director de investigación en Synack, este bug podría funcionar de manera remota en computadores que tengan activos ciertos servicios.

Al parecer Apple ya trabaja en una solución para este problema, mientras tanto sugiere a los usuarios cambiar la contraseña del usuario root en el computador. Apple ya liberó la actualización correspondiente, así que si cuentan con High Sierra es extremadamente recomendable que actualicen su equipo lo antes posible.

Este problema solo aquejaría a aquellos que tengan macOS High Sierra, por lo que si tienen otra versión del sistema operativo, están a salvo.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *