Se ha descubierto un nuevo error de contraseña en macOS High Sierra que permite a cualquier usuario no autorizado acceder a la configuración de App Store que se encuentra en Preferencias del Sistema. El error desbloquea la configuración del App Store cuando se introduce una cadena aleatoria de caracteres, sin verificar si se trata o no de la contraseña de administrador.
Afortunadamente, el error sólo se encuentra en la página de configuración del App Store y no afecta a otras secciones más sensibles de las Preferencias del Sistema. Puedes ver el error en acción usando una cuenta de Administrador y tu Mac.
Simplemente abre Preferencias del Sistema, ve a App Store y bloquea la página de configuración haciendo clic en el icono del candado (si no está bloqueado ya). A continuación, haga clic en el candado para desbloquear e introducir lo que desee. Finalmente haga clic en el botón Desbloquear. La página de configuración se desbloqueará y le permitirá realizar cambios.
Con este acceso no autorizado, cualquier persona que tenga acceso al Mac puede realizar cambios en las preferencias del App Store, instalar actualizaciones de aplicaciones, actualizaciones de macOS, archivos de datos del sistema e incluso actualizaciones de seguridad sin tener acceso a la cuenta de administrador de Mac.
Aunque esto no supone una amenaza seria para la privacidad o la seguridad del usuario, sigue siendo alarmante ver que este tipo de error se encuentra en macOS en primer lugar, y es una vergüenza para Apple. Apple ha corregido el error en las versiones beta 3 y beta 4 de macOS High Sierra 10.13.3, lo que significa que la empresa es consciente del problema y lo corregirá en la próxima versión de macOS High Sierra.
Apple ha demostrado ser descuidado cuando se trata de la seguridad de contraseñas en el Mac. Recientemente se encontró un error similar en macOS 10.13.1 que permitía a cualquiera acceder a una cuenta de superusuario root con un campo de contraseña en blanco. ()
Marcos Robson es redactor autónomo de Tech&Crumb y redacta los temas de seguridad, privacidad, libertad de información y cultura hacker (WikiLeaks y criptografía). Actualmente trabaja en en Nueva York (Wired).
