Sembra non esserci pace per MacOS High Sierra , ultima versione del sistema operativo per computer di Apple che si è fin da subito dimostrato piuttosto insufficiente dal punto di vista della sicurezza. L’ultimo problema in tal senso riguarda la possibile creazione di un account con privilegi di amministratore senza alcuna password , un bug triviale per eventuali malintenzionati e per il quale Cupertino dice di essere già al lavoro sulla patch .
Il bug può essere sfruttato dal box di autenticazione che compare quando si prova a modificare le impostazioni del sistema o al login del sistema operativo, box in cui basta digitare root come nome utente, lasciare il campo password vuoto e premere il pulsante di sblocco alcune volte finché la finestra non scompare.
Dear @AppleSupport , we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as “root” with empty password after clicking on login button several times. Are you aware of it @Apple ?
– Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
In questo modo, avendo accesso fisico alla macchina bersaglio, è possibile creare un account con pieni privilegi di amministrazione da riutilizzare in seguito – magari anche per l’accesso da remoto – per compiere qualsiasi azione malevola.
Si tratta di un problema di sicurezza piuttosto serio, che secondo i ricercatori è possibile sfruttare anche da riga di comando – una potenziale manna per gli autori di malware interessati all’utenza di Apple. Le versioni di MacOS High Sierra vulnerabili sono la 10.13.1 e la 10.13.2 attualmente in stato di beta .
Cupertino ha ammesso l’esistenza del bug e dice di essere al lavoro su un aggiornamento software per la sua eliminazione. Nel frattempo, agli utenti viene consigliato di creare un utente “root” con tanto di password, così da impedire la comparsa della vulnerabilità.
UPDATE : Apple ha rilasciato il fix ufficiale per la risoluzione del contestato bug, scaricabile dalla sezione aggiornamenti dell’App Store di macOS.
Alfonso Maruccia