Descripción
Un fallo de MacOS High Sierra puede ser explotado para crear una cuenta de administrador sin introducir una contraseña, el fallo puede ser explotado cuando intentas acceder a una cuenta de administrador en un Mac desbloqueado, pero también puede crear una cuenta de administrador desde la pantalla de inicio de sesión (es decir, con Mac bloqueado).
Concretamente, el fallo se encontró en macOS High Sierra 10.13 y en la beta de macOS 10.13.2. Podemos confirmar que hemos verificado personalmente la existencia del bug en macOS High Sierra 10.13 (versión estable).
Apple ya ha hecho una declaración oficial
Estamos trabajando en una actualización de software que corrige el problema. Mientras tanto, establecer una contraseña de root evita el acceso no autorizado a tu Mac. Para habilitar el usuario raíz y establecer una contraseña, consulte las instrucciones en esta dirección. Si un usuario Root ya está activo, para asegurarse de que no se ha configurado una contraseña vacía, siga las instrucciones de la sección «Cambiar la contraseña de root».
En Mac desbloqueado, para comprobar si el fallo está presente, simplemente siga estos pasos:
- Abrir preferencias del sistema
- Seleccionar usuarios y grupos
- Haga clic en el icono del candado para hacer cambios
- Escribe «root» en el campo Nombre de usuario
- Desplácese al campo Contraseña, haga clic y deje el campo en blanco.
- Haga clic en Desbloquear: Debería tener la opción de agregar una nueva cuenta de administrador.
En un Mac bloqueado, si tu cuenta de invitado está activa, puedes usar el mismo error desde la pantalla de inicio de sesión haciendo clic en «Más» e introduciendo «root» como tu nombre de usuario y contraseña en blanco. Esto es incluso más peligroso que la hipótesis anterior, ya que el acceso al contenido de Mac se puede hacer sin que el propietario lo desbloquee.
A la espera del arreglo oficial, es posible contener los riesgos, desactivando primero la cuenta de invitado, a través de los siguientes pasos:
- Iniciar preferencias del sistema
- Seleccionar usuarios y grupos
- Seleccionar usuario invitado
- Desmarque la casilla «Permitir que los huéspedes inicien sesión en este equipo».
Otra cosa a hacer es reemplazar la contraseña de root en MacOS High Sierra, como lo sugiere Apple (ver paso de apertura). Los pasos para evitar dejar el campo de contraseña en blanco para el usuario root introduciendo una contraseña real son los siguientes:
- Abrir preferencias del sistema
- Seleccionar usuarios y grupos
- Seleccione Opciones de inicio de sesión
- Seleccione «Iniciar sesión» en la entrada de cuenta de red del servidor
- Seleccionar Open Utility Directory
- Haga clic en el icono de bloqueo e introduzca su contraseña para realizar cambios.
- En el menú de la barra seleccione «Editar» y «Cambiar contraseña de usuario root».
- Introduzca una nueva contraseña
>>> Si usas Telegram te interesa apuntarte a nuestro Canal de Telegram, con todos los artículos del blog y mucho más.