La grave falla nella sicurezza di macOS High Sierra

Regolare Commento Stampare

Nell'ultima versione del sistema operativo Apple, macOS High Sierra, è stato individuato un importante bug di sicurezza che permette la creazione di un account root sprovvisto di password utilizzando una procedura semplicissima. Il problema riguarda soltanto l'edizione 10.13.1 di macOS, mentre non interessa tutte le versioni precedenti, ed espone i dati degli utenti alla possibilità di essere sottratti da chiunque abbia accesso fisico al computer.

Nella finestra dove vengono richieste le credenziali sarebbe sufficiente digitare "root" come nome utente e lasciare in bianco la parte relativa alla password; dopo aver cliccato qualche volta, il sistema accetta le credenziali e fornisce i privilegi di amministratore. Va da sé che per funzionare il trucchetto ha bisogno che qualcuno acceda fisicamente al computer, non è possibile farlo da remoto, e per questo, per il momento, ci sono due consigli per difendersi: il primo, e più ovvio, è tenere il MacBook lontano da mani indiscrete.

E' evidente che si tratta di un grosso problema di sicurezza che colpisce tutti i Mac aggiornati a macOS High Sierra.

Un aggressore che avesse a disposizione un sistema macOS altrui non deve fare altro che aprire la finestra delle preferenze (ad esempio quando il legittimo proprietario fosse lontano dalla scrivania), fare clic sull'icona Utenti e gruppi, sul lucchetto posto nell'angolo inferiore sinistro, portare il cursore nel campo password e premere ripetutamente il pulsante di sblocco.

Ma quali sono i rischi concreti?

Apple è infine intervenuta a titolo ufficiale esplicitando la consapevolezza acquisita sul problema e notificando un primo workaround che chiunque può portare a compimento per mettere una pezza temporanea in attesa di una vera e propria patch. Non sono ancora chiari i tempi che saranno necessari per sistemare la falla, ma è probabile che siano molto stretti, anche se in passato Apple è stata criticata per aver reagito troppo lentamente nella sistemazione di problemi di sicurezza (che però erano meno gravi dell'attuale).

Fine. Ora, aspettando che Apple chiuda la falla totalmente tramite aggiornamento software, il bug è risolto. In cosa consiste? Che pericoli ci sono "reali" per la sicurezza degli utenti? Apple ha pubblicato questa guida con le istruzioni su come impostare la password dell'account root.