macos high sierra password hacker nsa
Sicurezza

Falla pericolosa su macOS High Sierra: come risolverla

Un bug permetteva di digitare “root” nel campo nome utente senza alcuna password per diventare padroni del computer. Apple lo ha risolto in meno di 24 ore

Aggiornamento del 29 novembre ore 18.00

Apple ha comunicato di aver risolto, in meno di 24 ore, il problema circa il pericoloso bug su macOS High Sierra. Ecco cosa fare per proteggersi:

"La sicurezza è una priorità assoluta per ogni prodotto Apple e purtroppo siamo inciampati in questa problematica. Quando i nostri ingegneri della sicurezza sono venuti a conoscenza della falla abbiamo immediatamente iniziato a lavorare su un aggiornamento che la chiudesse. L'aggiornamento del sistema è già disponibile per il download e, a partire da più tardi nel corso della giornata, verrà installato automaticamente su tutti i sistemi che eseguono l'ultima versione (10.13.1) di macOS High Sierra. Siamo molto dispiaciuti per questo errore e ci scusiamo con tutti gli utenti Mac, sia per la vulnerabilità che per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo facendo una verifica dei nostri processi di sviluppo per evitare che ciò accada di nuovo."

La storia originale

Lo sviluppatore Lemi Ergin, quasi per caso, ha scoperto una pericolosa falla su macOS High Sierra. Basta infatti accendere qualsiasi computer portatile o desktop di Apple, digitare su Altro nella pagina che compare al login, inserire nel campo nome utente root e lasciare vuoto il box della password, premere Invio e accedere senza problemi al dispositivo.

Cosa succede

Il brutto della questione è che in questo modo ci si autentica non come semplici utilizzatori ma in veste di amministratori, in grado cioè di compiere qualunque azione di modifica delle impostazioni, copia e incolla dei file e cancellazione dei dati, non dovendo digitare alcuna chiave segreta o cose del genere.

Quello che cambia, rispetto all’utente che di norma usa la macchina, è che non vedremo sulla scrivania le sue icone e collegamenti, tutti presenti nelle cartelle di sistema e facilmente raggiungibili spulciando tra i percorsi.

Funziona, eccome

Abbiamo provato il metodo e funziona, lasciando a chiunque l’opportunità di loggarsi sul terminale lasciato incustodito. L’unica versione di macOS High Sierra vulnerabile è la più recente, numero 10.13.1 ma anche quella dopo divulgata solo in beta, la 10.13.2, mentre sulle precedenti pare non sia possibile aggirare in questo modo la sicurezza del sistema operativo della Mela.

Come metterci una pezza

Apple ha riconosciuto il problema e ha prontamente risposto che è già al lavoro per risolverlo. Intanto possiamo già tappare la falla almeno in via temporanea, con un paio di mosse per nulla complicate. Eccole:

  • Cliccare in alto a sinistra, sulla Mela, e poi in Preferenze di Sistema
  • Andare su Utenti e Gruppi
  • Abilitare le modifiche cliccando sul lucchetto. Qui servirà digitare la password del proprio accesso al Mac
  • A questo punto andare sopra al lucchetto in Opzioni Login e al fianco Accedi
  • Da qui su Apri Utility Directory ancora il lucchetto
  • In alto, sulla barra dei menu del Mac bisogna andare su Abilita utente root
  • Ora basta scegliere una password per l’accesso root, prima assente
  • Se si torna allo stesso menu si vedrà Disabilita utente root. Questo semplicemente cancella la possibilità di avere una password personalizzata, riattivando l’accesso senza chiave. Una volta che Apple avrà risolto il problema si potrà tornare a eseguire i passaggi di prima per Disabilitare l’utenza.

La voce di Apple

Ecco il comunicato della compagnia in merito alla vicenda: "Stiamo lavorando a un aggiornamento software per risolvere questo problema. Nel frattempo, l'impostazione di una password di root impedisce l'accesso non autorizzato al Mac. Se un utente root è già abilitato, per assicurarsi che non sia stata impostata una password vuota, segui le istruzioni dalla sezione "Modifica la password di root".


© Riproduzione Riservata

Commenti