En un gran fallo de Apple, macOS High Sierra permite iniciar sesión como administrador sin necesidad de contraseña [Actualizado]

81 comentarios Facebook Twitter E-mail

28 Noviembre 2017 Actualizado 6 Mayo 2018, 11:22

Raúl Álvarez

Hace tan sólo unos minutos, se empezó a difundir en Twitter una vulnerabilidad dentro de macOS High Sierra de Apple, la cual nos permite acceder a la configuración del sistema sin contraseña. Un fallo que incluso nos permite crear otro usuario con privilegios de administrador que de igual forma no necesita contraseña para acceder.

Lo sorpresivo de todo esto, es que el proceso es extremadamente sencillo, sólo se necesita entrar a las preferencias del sistema y en el apartado de 'Usuarios y Grupos' entrar con el usuario 'Root' sin contraseña, el cual después de algunos intentos nos dará acceso.

Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017

Apple no se ha pronunciado al respecto

En mi caso, tengo instalado macOS 10.13.1, la más reciente versión del operativo de escritorio de Apple, y puedo constatar que la vulnerabilidad está presente.

Al autenticarse bajo este método, se tiene pleno acceso a la configuración del sistema de una forma extremadamente sencilla y rápida, sin ningún tipo de obstrucción. Al tener este acceso se pueden crear nuevos usuarios con perfil de administrador, ver y modificar archivos, restablecer o cambiar contraseñas de los usuarios existentes, incluso se puede eliminar el perfil de Apple ID ligado a esos usuarios, lo que haría que dichas personas perdieran acceso a sus ordenadores.

Vamos, con este acceso se pueden realizar varios movimientos si alguien deseara poner en jaque ya sea un ordenador o una red de dispositivos, por lo que estamos ante un verdadero problema que necesita solución cuanto antes, ya que ahora mismo no hay forma de detenerlo, a menos que evitemos que cualquier persona no autorizada tenga acceso a nuestro Mac o Macbook.

En cuanto tengamos alguna respuesta por parte de Apple actualizaremos esta entrada.

Actualización: Apple ha salido a ofrecer breves declaraciones con respecto a la vulnerabilidad: "Estamos trabajando en una actualización de software para resolver este problema. Mientras tanto, se recomienda establecer una contraseña de root para evitar el acceso no autorizado a su Mac. Para habilitar el usuario Root y establecer una contraseña, siga las instrucciones que se encuentran aquí: https://support.apple.com/en-us/HT204012. Como el usuario root ya está habilitado, para garantizar que no se establezca una contraseña en blanco, siga las instrucciones de la sección "Cambiar la contraseña de root".

Actualización 2 [29 de noviembre]: Apple acaba de lanzar la actualización de seguridad que soluciona la vulnerabilidad en macOS High Sierra. Para instalarla sólo es necesario entrar a la Mac App Store y buscar en el apartado de 'Actualizaciones'.

Adicional a esto, Apple ha emitido el siguiente comunicado:

La seguridad es una prioridad para todos productos de Apple, y lamentablemente ha habido un tropiezo con esta versión de macOS.

Cuando nuestros ingenieros de seguridad conocieron el problema el martes por la tarde, empezamos a trabajar de inmediato en una actualización para cerrar el agujero de seguridad. La actualización está disponible para descargar desde esta mañana a las 8 a.m. (hora de la costa del Pacífico). Y, a partir de hoy, se instalará automáticamente en todos los sistemas que ejecuten la última versión (10.13.1) de macOS High Sierra.

Lamentamos mucho este error y pedimos disculpas a todos los usuarios de Mac, tanto por haber lanzado el software con esta vulnerabilidad como por la preocupación que ha causado. Nuestros clientes se merecen algo mejor. Estamos auditando nuestros procesos de desarrollo para evitar que esto vuelva a suceder."