Vulnerabilità di sicurezza in macOS High Sierra: ti mostriamo la vulnerabilità di Apple e ti spieghiamo come proteggerti.
Nel sistema operativo macOS High Sierra di Apple si è insinuata una vulnerabilità di sicurezza molto fastidiosa e facile da sfruttare. Dopo una prova, posso mostrarti la vulnerabilità e dirti come puoi tornare ad essere un po' più sicuro.
Apple produce un buon hardware. Apple produce un buon software. In realtà Apple fa tutto almeno bene. Questo vale anche per le falle nella sicurezza del suo sistema. Perché quando una delle rare falle nella sicurezza di Apple diventa nota, si tratta di una falla davvero buona. E per "buona" intendo "cattiva".
Una prova in redazione - ho rubato un Macbook dal nostro reparto grafico - lo dimostra: Sì, la falla di sicurezza è reale e sì, è grave.
Nome utente root, password vuota
Sfruttare la vulnerabilità è relativamente semplice. Hai presente la schermata in cui devi inserire nuovamente la password per accedere alle risorse. Molto probabilmente la trovi nelle impostazioni di sistema. Se vuoi personalizzare qualcosa, appare una piccola schermata che ti chiede la password del tuo account utente. Sul mio portatile, questo è l'utente "Creazione" e non ti dirò la password.
Creazione potrebbe non avere accesso alla risorsa. In un'azienda, ad esempio. I dispositivi vengono forniti dal reparto IT interno e alcune impostazioni di sistema non devono essere modificate. In questo caso, l'accesso è bloccato e accessibile solo tramite la password dell'utente.
Quando viene visualizzata questa finestra, inserisci il seguente nome utente:
root
Lascia vuoto il campo della password e premi Invio. La prima volta potrebbe non funzionare, ma se premi ripetutamente Invio, alla fine funzionerà. Sui Mac dell'ufficio, non abbiamo mai avuto bisogno di più di due tentativi.
Voilà, hai accesso alla risorsa e puoi personalizzare le impostazioni del sistema come desideri. La vulnerabilità è stata scoperta dal ricercatore turco di sicurezza informatica Lemi Orhan Ergin, che l'ha pubblicata su Twitter.
Questo non va bene.
Come puoi proteggerti
Per quanto sia facile sfruttare la falla, è altrettanto facile tapparla, almeno per quanto riguarda gli utenti. Basta cambiare la password di root. Per farlo, però, devi attivare l'utente "root", che per impostazione predefinita è inattivo.
- Vai al menu Apple in alto a sinistra
- Vai alle impostazioni di sistema
- Vai su Utenti e gruppi (o Account)
- Clicca sull'icona del lucchetto in basso a sinistra
- Usa la tua password o l'hack di root descritto sopra
- Opzioni di login
- Entra o modifica
- Apri l'utilità directory
- Nella finestra dell'utilità directory, inserisci di nuovo il simbolo del lucchetto e la password di amministrazione o l'hack di root
- In cima al menu: Modifica → Abilita utente root
- Inserisci la password che l'utente root deve utilizzare
Oppure, se vuoi che sia più breve, apri un terminale e inserisci la seguente riga di comando:
sudo passwd -u root
Divertente che si possa usare un hack per abbattere l'hack. Ma questo è solo un esempio.
Apple probabilmente rilascerà in poco tempo un aggiornamento che risolverà il problema con il root. Sarebbe anche abbastanza semplice. Anche se non si può cambiare nulla nella struttura e nell'implementazione di root, il problema può essere risolto abbastanza facilmente: I campi password vuoti non sono validi.
Quindi: non appena Apple ti suggerisce di installare un aggiornamento, fallo.
Chi è questo root? Non ce l'ho nemmeno sul mio Mac
L'utente root è uno degli account standard dei sistemi basati su Unix. Il sistema operativo macOS di Apple è basato su Unix. Quando la parola "root" viene tradotta dall'inglese, significa "radice". Non sorprende quindi che l'account root sia estremamente importante per il sistema. È addirittura l'account più importante del sistema.
root è l'account di amministrazione memorizzato dal sistema e non può essere rimosso.
L'account ha tutti i diritti sul computer o sulla rete, il che lo rende naturalmente uno strumento estremamente potente. L'equivalente di root in Windows è l'account di "Amministratore".
L'account ha tutti i diritti sul computer o sulla rete, il che naturalmente lo rende uno strumento estremamente potente.
Quindi, questo è tutto. Personalizza il tuo account di root e installa l'aggiornamento non appena arriva. Rimani al sicuro!
Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.