Q&A

Il bug su MacOS High Sierra che consente di loggarsi come "root" senza password

apple root password bug MacOs High sierra - 1

Gli utenti Apple che utilizzano il sistema operativo macOS High Sierra (macOS 10.13) hanno un problema. A quanto pare infatti sui dispositivi che hanno installato quel sistema operativo a causa di un bug è possibile effettuare il log in come amministratore del sistema (root) senza immettere alcuna password. L’unica cosa che si deve fare è inserire “root” come username lasciando vuoto il campo della password. L’errore è macroscopico e rappresenta una falla per la sicurezza degli utenti Apple.

L’errore di macOS High Sierra che compromette la sicurezza degli utenti

A scoprire il bug, e a segnalarlo su Twitter, è stato il programmatore turco Lemi Orhan Ergin che in una serie di tweet ha reso nota l’esistenza di quello che ha definito “un enorme problema di sicurezza su MacOS High Sierra”. Una volta inserito “root” come user name e dopo aver cliccato un po’ di volte sul pulsante sblocca chiunque è così in grado di avere i privilegi dell’amministratore di sistema del dispositivo. Si tratta ovviamente di un problema non da poco perché in questo modo chi ha la possibilità di loggarsi come “root” può – ad esempio – installare malware o compiere altre operazioni che potrebbero danneggiare il proprietario del Mac.
apple root password bug MacOs High sierra - 3
Naturalmente questo genere di “attacchi” richiedono l’accesso fisico al dispositivo, a rischiare sono soprattutto coloro che lasciano il proprio prezioso Apple computer incustodito, magari confidando che senza la password nessuno sarà in grado di accedere al suo contenuto. Non è così. A complicare ulteriormente le cose c’è il fatto che questo exploit può essere sfruttato anche dai malware o dalle app che – una volta installati – possono automaticamente loggarsi come amministratore di sistema tramite linea di comando senza che l’utente se ne accorga.

apple root password bug MacOs High sierra - 2
Fonte

Come ha segnalato su Twitter un lettore di The Register quanto pare il bug dà addirittura la possibilità di accedere alla File Vault, lo strumento Apple che su macOS High Sierra consente di criptare il contenuto dell’hard disk per una maggiore sicurezza.


Un altro utente Twitter ha scoperto che qualcuno aveva già sollevato la questione sul forum degli sviluppatori Apple. Succedeva due settimane fa ma a quanto pare nessuno se ne era accorto o aveva dato peso alla cosa.


Come fare per aggirare il problema? La soluzione per il momento consiste nell’impostare una password anche per l’account “root” in modo da rendere inefficace un eventuale exploit. Il bug su macOS High Sierra funziona solo perché – per motivi ignoti – l’account di root è stato creato senza una password. Apple ha pubblicato questa guida con le istruzioni su come impostare la password dell’account root. Così facendo gli utenti si metterano al sicuro dall’errore di macOS High Sierra. Apple a quanto pare sta lavorando alla creazione di una patch di aggiornamento per risolvere definitivamente il problema.
EDIT: APPLE ci fa sapere che il bug è stato fixato:

Apple ripara la falla di sicurezza dell’ultimo sistema operativo dei suoi computer, MacOS High Sierra, e si scusa con gli utenti.
“Siamo molto dispiaciuti per questo errore – spiega Cupertino in una nota – e ci scusiamo con tutti gli utenti Mac, sia per il rilascio del sistema con questa vulnerabilità sia per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo facendo una verifica dei nostri processi di sviluppo per evitare che ciò accada di nuovo”.