O novo macOS tem uma enorme vulnerabilidade de segurança

Em softwares, existem bugs e existem bugs perigosos. Parece que o macOS High Sierra tem um desses bugs perigosos; um que poderia dar a alguém acesso completo a virtualmente qualquer conta. E, caramba, como é assustador.

O desenvolvedor de softwares turco Lemi Orhan Ergin apontou uma aparente vulnerabilidade de segurança no macOS em um tweet na tarde desta terça-feira (28). Basicamente, se você abre as Preferências de Sistema e então navega até Usuários e Grupos, você pode facilmente ganhar acesso para fazer alterações em qualquer conta nessa máquina. Basta clicar na trava e, quando o macOS te pedir uma senha, você troca o nome de usuário por “root”, seleciona o campo de senha (mas sem digitar uma) e clique em Destravar. Simples assim, o sistema destrava. Conseguimos replicar o processo várias vezes.

É importante destacar o fato de que um hacker provavelmente precisaria ter acesso a um Mac logado para se aproveitar dessa vulnerabilidade. Se houver um usuário root já habilitado, a tela de login do macOS não deixa você mudar o nome de usuário.

Entretanto, se você já usou o truque para destravar o Usuários e Grupos, pode usar o mesmo truque do “root” para logar de volta no computador depois de ter feito o logout. Basta selecionar Outro como usuário, digitar “root”, clicar no campo de senha e então apertar return. Isso vai configurar um novo usuário e permitir que você use a máquina como administrador. Como o Macrumors aponta, você pode evitar isso habilitando um usuário root no seu Mac.

O usuário @fristle, no Twitter, apontou que a vulnerabilidade esteve exposta no próprio fórum de desenvolvedores da Apple há duas semanas.

Um leitor do Gizmodo trouxe uma possibilidade ainda mais assustadora:

Se você tiver o Gerenciamento Remoto ativado nas suas preferências de Compartilhamento, então alguém com o Apple Remote Desktop ou um app de compartilhamento de tela pode, de fato, fazer login remotamente usando essa brecha. Confirmei isso pessoalmente com um amigo em meu espaço de coworking, e foi confirmado aqui também.

Entramos em contato com a Apple para saber mais sobre esse bug, seu escopo e como a empresa planeja resolvê-lo. Atualizaremos a publicação se tivermos uma resposta.

Todas as imagens: Gizmodo

Post Original

Deixe uma resposta