Un bug en macOS High Sierra permite acceso completo de administrador sin password

A pesar de que macOS constituye el sistema operativo más seguro del mundo siendo el menos afectado por amenazas cibernéticas, lo cierto es que no se trata de un OS seguro al cien por cien, tal y como demuestra la aparición de un nuevo fallo de seguridad por el cual se habilita un usuario en macOS Hish Sierra con acceso de administrador a la totalidad del equipo ya que cuenta con una contraseña en blanco y carece de comprobación de seguridad.

El fallo “root”

El fallo de seguridad en cuestión habría sido descubierto por el desarrollador Lemi Ergin. Dicho bug permite que cualquier persona sea capaz de iniciar sesión en una cuenta de administrador utilizando el nombre de usuario «root» (“raíz”) sin contraseña. Este error funciona cuando se intenta acceder a la cuenta de un administrador en un equipo Mac que se encuentra desbloqueado, y también proporciona acceso a la pantalla de inicio de sesión de una Mac bloqueado.

Para comprobar que tu equipo está afectado por este fallo de seguridad, simplemente debes seguir estos pasos habiendo iniciado sesión desde cualquier cuenta de usuario de tu Mac, ya sea de administrador o de invitado:

1. Abre Preferencias del sistema
2. Acude a la sección de Usuarios y Grupos
3. Haz clic en el candado para hacer cambios
4. Escribe «root” en el campo de nombre de usuario
5. Mueve el ratón al campo Contraseña y haga clic allí, pero déjalo en blanco
6. Haga clic en Desbloquear, y deberías tener acceso completo que te permita agregar una nueva cuenta de administrador.

También en la pantalla de inicio de sesión puedes usar este inseguro truco para obtener acceso a un equipo Mac después de que la característica se haya habilitado en Preferencias del Sistema. En la pantalla de inicio de sesión, haga clic en «Otro» y luego introduce “root” nuevamente sin contraseña.

[irp]

Parece que este error está presente en la versión actual de macOS High Sierra, 10.13.1, y en la versión beta de macOS 10.13.2 que está en fase de pruebas en estos momentos. Para solucionar el problema, debes habilitar un usuario “root” con contraseña, de esta manera ya no será posible hacer uso de este bug mientras Apple lo soluciona en una próxima actualización, algo que ya ha confirmado estar haciendo.