Si usas MacOS High Sierra deberías estar en alerta máxima. Un de Twitter reveló una vulnerabilidad de seguridad masiva que permite a cualquier persona iniciar sesión en tu sistema como , sin credenciales de inicio de sesión válidas.
Todo lo que un malicioso tiene que hacer es intentar iniciar sesión como «Root» desde la pantalla de inicio de sesión, dejar el campo de contraseña en blanco, y presionar Enter una y otra vez hasta que el sistema permita el .
Dear @Apple, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can as "root" with empty after clicking on button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Afortunadamente, hay una solución rápida y fácil. Si ya has cambiado la contraseña de Root de tu sistema, estás a salvo. Si no es así, cambiar esa contraseña debería mantenerte protegido hasta que Apple emita un parche oficial.
Si estás ejecutando MacOS High Sierra, toma unos minutos para aplicar esta solución rápida:
Primero, debes abrir System Preferences en el sistema, seleccionar Options, y luego hacer clic en , justo al lado de Network Server. Esto abrirá un pequeño cuadro de diálogo. Allí debes hacer clic en Open Directory Utility.
Desde aquí, desliza el mouse hacia arriba hasta la barra de Finder y haz clic en Edit. En este menú desplegable, selecciona Change Root . Y ahora llega la parte más importante: elige una contraseña segura y única que podrás recordar. ¡Y eso es todo! Problema resuelto, por lo menos por ahora.
Apple todavía tiene que emitir un parche oficial, o un conjunto de instrucciones sobre cómo protegerte, pero la solución anterior debería funcionar. Solo asegúrate de vigilar tu Mac hasta que todo esto se solucione.
Esta situación salió a la luz después de que un trabajador de Twitter buscó la cuenta oficial de Apple para obtener ayuda con respecto a la vulnerabilidad, y desde allí todo se propagó. Los s de Twitter de todo el mundo confirmaron que podían replicar el y acceder a sus propias computadoras sin usar nada más que una palabra de cuatro letras.
Esto no es solo una vulnerabilidad menor, ni una laguna en algún tipo de código que sólo un hacker o experto en seguridad podría explotar. Esta es una forma sencilla de entrar en la computadora de otra persona. Sólo esperemos que pronto se lance una solución oficial.
