¿Apple está prestando atención a la seguridad de macOS más?
Una nueva falla de seguridad de Mac le permite escribir literalmente cualquier nombre de usuario y contraseña para desbloquear el panel de Mac App Store en Preferencias del sistema. Probablemente no sea un gran problema en términos prácticos, el panel está desbloqueado de forma predeterminada, pero el hecho de que este problema exista es un recordatorio preocupante de que Apple no está priorizando la seguridad como solían hacerlo..
Lo entiendo: los periodistas de tecnología tienden a perder la razón cuando se trata de Apple. El defecto más pequeño se promociona más allá de lo que se cree, se le da un nombre que termina en "puerta" y luego se olvida en un mes. Es un ciclo regular en este momento y dificulta que los lectores reconozcan los problemas reales.
Un poco de historia
Así que repasemos rápidamente. En noviembre de 2017, un error de macOS permitía a cualquiera crear una cuenta de root sin una contraseña en las Preferencias del Sistema simplemente escribiendo "root" como nombre de usuario y inventando literalmente cualquier contraseña. En lugar de negarle el acceso, como lo haría un sistema bien diseñado, macOS High Sierra solo crear una cuenta de root usando la contraseña que ingresaste.
Además de ser inseguro, este es un comportamiento extraño. ¿Por qué en el mundo crear una contraseña de root crear una cuenta de root de toda la tela? Lo que está sucediendo en el backend que lo hace posible.?
Es difícil de imaginar, por lo que este no fue un caso de periodistas tecnológicos exagerando. Fue realmente malo.
Y la limpieza después de ese error no inspiró mucha más confianza. Claro, Apple emitió un parche que solucionó el problema, pero muchos usuarios volvieron a introducir el problema si instalaron la actualización 10.13.1 de la semana anterior después de la instalación. Solo con el lanzamiento de 10.13.2 se solucionó completamente el problema, y eso no fue hasta diciembre de 2017..
Pero al menos eso fue el final. Derecha?
El último problema
No exactamente. Resulta que hay más problemas de seguridad inexplicables en las Preferencias del Sistema. Puedes recrearlo fácilmente en 10.13.2 si quieres jugar en casa, así que abre una ventana y únete a mí. Abra Preferencias del sistema en una cuenta de administrador y luego diríjase a App Store. Notará que el bloqueo en la parte inferior izquierda está abierto de manera predeterminada, lo que significa que puede cambiar la configuración.
No estoy seguro de por qué el bloqueo está en absoluto si está desbloqueado de forma predeterminada, pero lo que sea. Haga clic en el bloqueo para “asegurar” este panel y luego vuelva a hacer clic para desbloquearlo. Aquí está el truco: puede escribir literalmente cualquier contraseña que desee y el panel se desbloqueará.
Lo mismo ocurre con el nombre de usuario: puedes poner lo que quieras en ese campo y el panel se desbloqueará. Escribí "Harry" como el nombre de usuario y "es tonto" como la contraseña y funcionó; así lo hizo "Justin" y "es increíble".
En la práctica, esto no es un gran problema: una vez más, el panel en cuestión no está bloqueado de manera predeterminada, y el desbloqueo de este panel no le da acceso a ningún otro panel bloqueado.
El problema es que no sabemos por qué sucede esto y si el error que lo permite puede existir en otro lugar. Al igual que con el error anterior, es sorprendente que nadie detectó este problema en las pruebas, y realmente te hace preguntarte cuánto puedes confiar en macOS para mantener tus datos bloqueados..
Estamos seguros de que una actualización solucionará esto, especialmente ahora que los medios están haciendo un escándalo. Pero al contrario de lo que piensas, no me gusta hacer un escándalo. Prefiero que las cosas estén cerradas. Apple necesita mejorar su juego en el frente de seguridad, porque este tipo de cosas hace que parezca que ni siquiera están prestando atención.