Un gravissimo bug che può compromettere seriamente la sicurezza del Mac è stato scoperto in macOS High Sierra 10.13.x. E per seriamente intendiamo che chiunque potrebbe prendere il pieno controllo del Mac con l’account root. Non sono richieste nemmeno particolari conoscenze informatiche per sfruttare la falla.
Lo spiega lo stesso sviluppatore che ha evidenziato il bug, Lemi Orhan Ergin. Basta provare una o più volte ad autenticarsi come root senza specificare la password, ed è fatta. Lemi Ergin afferma di non essere stato lui a scoprire per primo la falla. Egli ha solo dato visibilità al fatto su Twitter. Il suo esempio è nel pannello Utenti e Gruppi delle Preferenze di Sistema. Ma il grave bug pare possa essere sfruttato anche in altre posizioni, ancora più critiche, come ad esempio la schermata di login. Ma ci sono opinioni e riscontri discordanti al riguardo.
Un accesso come utente root è il tipo di accesso al Mac con i permessi più alti. L’utente root può infatti modificare parti del sistema operativo a cui altri utenti non possono accedere. È dunque evidente la gravità del bug di macOS High Sierra.
Come prevenire l’accesso a macOS High Sierra
Il supporto Apple ha risposto allo sviluppatore su Twitter, una conferma che l’azienda sta seguendo la questione. Non ci risultano comunicazioni ufficiali della Mela sul problema, come abitudine dell’azienda. Per la gravità della falla, forse in questo caso sarebbe stato opportuno.
Diversi siti americani (tra cui MacRumors e Macworld) riportano dichiarazioni da parte di portavoce Apple. Secondo tali dichiarazioni, Apple è al lavoro su un aggiornamento che risolve la falla. Nel frattempo, la soluzione temporanea consigliata da Apple è di impostare una password per l’utente root. Le istruzioni sono riportate sulla nota tecnica Apple all’indirizzo https://support.apple.com/en-us/HT204012.
Questa è la dichiarazione Apple, in originale, come riportata dai siti citati e da altri:
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.
Apple consiglia anche di modificare la password dell’utente root, se questo è già abilitato. Ciò per essere sicuri che la password impostata non sia vuota. Ma la sezione che parla della modifica della password per l’utente root non è presente nella versione italiana dell’articolo di supporto. La versione italiana è consultabile all’indirizzo https://support.apple.com/it-it/HT204012. Quella in inglese contiene però informazioni in più e risulta aggiornata più di recente. (Forse proprio alla luce della scoperta del bug?)
Naturalmente la password di root è molto importante, quindi: leggiamo bene le istruzioni e teniamola da conto.
Apple dovrebbe correggere il bug in un prossimo aggiornamento software per macOS High Sierra. Non è noto però quando questo verrà rilasciato.
La sicurezza è uno dei temi più scottanti dell’era digitale. Circa un mese fa era stata scoperta una falla altrettanto grave nel protocollo Wi-Fi.