Grave fallo de seguridad en macOS: esto es lo que debes hacer ahora mismo

MacOS High Sierra tiene un grave agujero de seguridad: cualquiera puede ser administrador sin contraseña. Esto es lo que debes saber y cómo solucionarlo.

Apple lanza un parche para macOS

Apple ha lanzado la actualización de seguridad 2017-001, dedicada a tapar el agujero de seguridad que permite entrar en sistemas macOS sin contraseña.

Según Apple, se trataba de un error en la validación de las credenciales; la solución ha sido, por lo tanto, mejorar la validación, aunque la compañía no ha ofrecido más detalles.

Si usas macOS High Sierra, es absolutamente vital que instales la actualización, que se instalará automáticamente en todos los sistemas macOS 10.13.1.

Apple ha declarado que ha tenido un “tropiezo” con la última versión de macOS, pero afirma que la seguridad es una prioridad, y que por eso están auditando sus procesos de desarrollo para que algo semejante no se vuelva a repetir.


Artículo original
Hace unas semanas que cientos de millones de ordenadores Mac recibieron la actualización gratuita a High Sierra, la nueva y más avanzada versión de macOS, lo que nadie esperaba es que Apple tuviese un desliz de seguridad tan grave como el descubierto en las últimas horas.

Cualquiera puede acceder al usuario ‘root’, es decir, aquel que tiene privilegios de administrador y que puede controlar y acceder a todos los contenidos del ordenador, sin meter ninguna contraseña. Sí, está completamente desprotegido y es uno de los mayores agujeros que se recuerdan.

¿Qué significa el acceso al usuario root en macOS High Sierra?

Por norma general, el usuario root está deshabilitado en macOS, pero por alguna razón en High Sierra esto no se cumple y Apple lanzó la actualización del sistema a cientos de millones de ordenadores Mac con la posibilidad de acceder a él sin necesidad de introducir una contraseña.

El fallo ha sido descubierto por el desarrollador Lemi Orhan, que directamente ha tuiteado el problema a la cuenta de soporte de Apple en Twitter (una forma de hacerlo público que, también hay que decirlo, no es precisamente ortodoxa dada la magnitud del fallo).

Lemi muestra cómo simplemente hay que dejar el campo de contraseña vacío para acceder al usuario root y, al intentarlo varias veces, simplemente nos da acceso. No hay que hacer nada más. Tal y como hemos comprobado desde Omicrono, esto también se cumple en nuestros equipos.

El agujero de seguridad representa un gran problema porque cualquiera con acceso a un Mac podría conseguir estos permisos de administrador y acceder a todo el contenido del mismo.



Cómo solucionar el fallo de seguridad root en macOS

Apple ya ha comunicado que están trabajando en una actualización de software urgente para solucionar este fallo de seguridad para todos los usuarios, impidiendo que se pueda acceder a este superusuario con todo tipo de privilegios sobre el sistema.



Sin embargo, mientras llega la prometida actualización, todos los usuarios de macOS High Sierra deberían tomar medidas. ¿Cómo? En esencia hay que añadir una contraseña fuerte, segura (y única, por favor) al usuario root, o directamente desactivar dicho usuario. Estos son los pasos que debes seguir:
Añade una contraseña a root o desactívalo

Selecciona el menú Apple () > Preferencias del Sistema y haz clic en Usuarios y grupos (o Cuentas).
Haz clic en llll y, a continuación, introduce el nombre y la contraseña de administrador.
Haz clic en Opciones inicio sesión.
Haz clic en Acceder (o Editar).
Haz clic en Abrir Utilidad de Directorios.
Haz clic en en la ventana Utilidad de Directorios y, a continuación, introduce el nombre y la contraseña de administrador.
En la barra de menús de Utilidad de Directorios:
Selecciona Editar > Activar usuario root y, a continuación, escribe la contraseña que quieres usar para el usuario root.
O bien, elige Editar > Desactivar usuario root.

Comentarios