El sistema Operativo mas avanzado del mundo tiene un fallo de seguridad tan tonto que tumba por los suelos la afirmación de ser el mas avanzado.

macOS High Sierra tiene sus bases en UNIX, y como tal hace uso de los mecanimos de autenticación y niveles de seguridad propios de UNIX, entonces, el usuario “root” existe, aunque es el “super usuario” y un usuario normal, o el de dia dia, no deberia ser root, puesto que es un usuario tan poderozo que tiene el poder de borrar el sistema sin que el sistema le diga nada.

macOS tiene desde hace un par de versiones una medida de seguridad contra esto, es decir, ni root puede cambiar ciertos archivos o regiones del sistema a menos que el usuario entre a modo mantenimiento y desactive esta característica.

Sin embargo el bug de hoy es un mega facepalm para Apple., es posible desbloquear el prompt de  la contraseña escribiendo el usuario “root” como usuario y sin usar contraseña solo hacer click en el boton de aceptar/desbloquear bastantes veces, eventualmente se quitará el dialogo permitiendo hacer y deshacer con los permisos de “root”.

Para poner un ejemplo práctico, vamos a “Preferencias del sistema”, luego al panel de usuarios y hacemos click en el icono del candadito para que nos aparezca el prompt, en lugar de poner el nombre de usaurio nuestro (lo tipico) ponemos “root” y sin poner nada en la contraseña damos click varias veces en “Desbloquear”. En algun punto el prompt se quitará y podremos mover la configuración.

Otros usuario han reportado que se puede hacer esto desde “login”!!

Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?

— Lemi Orhan Ergin (@lemiorhan) November 28, 2017

Ahora, si bien esto se puede hacer en cualquier area donde aparezca este “prompt”, quiere decir que un usuario con acceso fisico a la máquina podrá abrir el keychain y conocer nuestras contraseñas.

El parche vendrá pronto, pero de mientras parece ser que la unica opción que se tiene es crear un usuario con nombre root y que tenga contraseña.

Actualización : He intentado reproducir este problema en mi computadora sin poder lograrlo, esto porque en mi Mac “root” tiene contraseña. Entonces la solución inmediata es ponerle contraseña a root.

Para esto abran la terminal y escriban lo siguiente :

sudo su (enter)

passwd (enter)

En el primer comando nos pedira una contraseña para continuar, escriban la contraseña de su usuario actual. Este comando nos dará acceso como root a la línea de comandos.

En el segundo comando solicitamos el cambio de contraseña. En este caso ponemos la contraseña que queramos, se nos pedirá confirmar la contraseña; lo hacemos y listo. Podemos cerrar la terminal porque ya estamos protegidos.

 1,969 total views,  3 views today