Todo lo que un usuario malicioso tiene que hacer es intentar iniciar sesión como «Root» desde la pantalla de inicio de sesión, dejar el campo de contraseña en blanco, y presionar Enter una y otra vez hasta que el sistema permita el acceso.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Afortunadamente, hay una solución rápida y fácil. Si ya has cambiado la contraseña de Root de tu sistema, estás a salvo. Si no es así, cambiar esa contraseña debería mantenerte protegido hasta que Apple emita un parche oficial.
Si estás ejecutando MacOS High Sierra, toma unos minutos para aplicar esta solución rápida:
Primero, debes abrir System Preferences en el sistema, seleccionar Login Options, y luego hacer clic en Join, justo al lado de Network Account Server. Esto abrirá un pequeño cuadro de diálogo. Allí debes hacer clic en Open Directory Utility.
Desde aquí, desliza el mouse hacia arriba hasta la barra de Finder y haz clic en Edit. En este menú desplegable, selecciona Change Root Password. Y ahora llega la parte más importante: elige una contraseña segura y única que podrás recordar. ¡Y eso es todo! Problema resuelto, por lo menos por ahora.
Apple todavía tiene que emitir un parche oficial, o un conjunto de instrucciones sobre cómo protegerte, pero la solución anterior debería funcionar. Solo asegúrate de vigilar tu Mac hasta que todo esto se solucione.
Esta situación salió a la luz después de que un trabajador de Twitter buscó la cuenta oficial de Apple Support para obtener ayuda con respecto a la vulnerabilidad, y desde allí todo se propagó. Los usuarios de Twitter de todo el mundo confirmaron que podían replicar el acceso y acceder a sus propias computadoras sin usar nada más que una palabra de cuatro letras.
Esto no es solo una vulnerabilidad menor, ni una laguna en algún tipo de código que sólo un hacker o experto en seguridad podría explotar. Esta es una forma sencilla de entrar en la computadora de otra persona. Sólo esperemos que pronto se lance una solución oficial.
