La última versión del sistema operativo, macOS High Sierra, permite acceder al equipo sin necesidad de introducir contraseña y solo con entrar con el usuario ‘root’ (administrador).
Un grupo de desarrolladores, entre los que se encuentra el turco Lemi Orhan, creador de Software Crafstman, descubrió un error en la última versión del sistema operativo de Mac, el macOS High Sierra.
La vulnerabilidad permite acceder al equipo sin contraseña solo con entrar con el usuario root (administrador) y dejar el hueco de la contraseña en blanco. Tras dos fallos, el sistema permite iniciar sesión y otorga capacidades de administración.
Esto significa que cualquier persona podría utilizar el dispositivo, descargar archivos o instalar malware. Desde Apple aseguran que ya están trabajando en una actualización de software para solucionar la brecha. “Mientras, establecer una contraseña de root evita el acceso no autorizado a su Mac”, señalan desde la compañía. “Y, si un usuario root ya está habilitado, para asegurar que no se establezca un código en blanco, siga las instrucciones de la pestaña ‘Cambiar la contraseña de root”.
El error, en la mayoría de casos, no se puede explotar de forma remota por lo que la amenaza solo existe a priori si una persona obtiene acceso físico al computador. Pero, si anteriormente se otorgó acceso a un escritorio remoto por algún motivo como ofrecer soporte técnico, podría aprovecharse la vulnerabilidad utilizando esa conexión.
La vulnerabilidad, descrita como “simple” y “embarazosa” por los expertos, fue designada ya como la mayor de la historia de la compañía de la manzana.
Por otra parte, Orhan reveló el fallo en Twitter, lo que ha desatado la polémica ya que no ha seguido las pautas de divulgación responsable que rigen a los profesionales de la seguridad y que indican que hay que notificar a las empresas los defectos de sus productos dejándoles un margen de tiempo para solucionarlos antes de publicarlos.