Uma falha de segurança, descoberta nesta terça-feira (28), permite que qualquer pessoa possa realizar login em um MacOS que execute a versão mais recente do High Sierra (10.13.1) e também na última versão beta disponível para testes (10.13.2 beta).
A vulnerabilidade foi divulgada pelo desenvolvedor de software turco, Lemi Orhan Ergin, que publicou a informação no Twitter, chamando o bug de "enorme problema de segurança":
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017
Um fato curioso é que o bug foi anteriormente detalhado como uma solução para um problema de login de usuário no fórum de suporte para desenvolvedores da Apple. Um desenvolvedor chamado Chethan Kamath, com o nome de usuário chethan177, escreveu no último dia 13 de novembro: "Na inicialização, clique em "Outro". Digite o nome de usuário “root” e deixe a senha vazia. Pressione Enter. (Tente duas vezes). Se você conseguir fazer o login, será o administrador".
O erro, que aparentemente não afeta as versões anteriores do MacOS, permite desativar coisas como a criptografia do File Vault e o firewall. Além disso, quem tiver acesso ao computador também poderá adicionar administradores, alterar as configurações críticas, bloquear o proprietário atual e assim por diante.
O erro permite adicionar administradores, alterar as configurações críticas, bloquear o proprietário atual e assim por diante.
Segundo o jornal The Guardian, a Apple informou que está "trabalhando em uma atualização de software para resolver este problema" e recomendou aos usuários que definissem uma senha root (raiz) para impedir o acesso não autorizado aos MacOS.
Embora desativar a senha de root seja fundamental e prioridade neste caso, você também pode deixar o seu MacOS ainda mais protegido por meio da desativação das contas de usuários convidados. As contas podem ser desativadas em: Preferências do sistema > Usuários e grupos, opção "Usuário convidado”. Em seguida, insira sua senha de administrador e desative "Permitir que os usuários convidados iniciem sessão neste computador".