Chiunque può accedere al vostro Mac senza dover utilizzare una password e per farlo non è nemmeno necessaria una procedura particolarmente complessa. A rivelarlo è stato l’ingegnere Lemi Orthan Ergin sul suo profilo Twitter, dove ha spiegato la (semplice) procedura che sfrutta una falla dell’ultimo aggiornamento di macOS, High Sierra, per accedere ad un MacBook o iMac protetto da password. Il bug consente a chiunque di creare una sorta di profilo fantasma con il quale ottenere gli accessi da admin.
Una volta creato, questo account necessità solamente del nome utente “root” per sbloccare il Mac senza la necessità di inserire nessuna password. Una procedura incredibilmente semplice che richiede solo un attimo di distrazione da parte del proprietario del computer: per attivare il profilo fantasma basta recarsi in Preferenze di sistema, Utenti e Gruppi e cliccare sull’icona a forma di lucchetto. A questo punto basta inserire diverse volte “root” come utente e il profilo viene creato.
Per sbloccarlo basta poi inserire il nome utente all’interno della schermata di login e premere invio: una volta fatto si accede al Mac con i massimi accessi di sistema. Se è quindi vero che per sfruttare il bug bisogna accedere fisicamente al Mac, lo è altrettanto il fatto che bastano pochi secondi di distrazione da parte del proprietario per appropriarsi di un profilo nascosto. “Stiamo lavorando a un aggiornamento software per risolvere questo problema” ha spiegato Apple in una nota, fornendo anche indicazioni su come risolvere temporaneamente la falla di sistema."Nel frattempo, l'impostazione di una password di root impedisce l'accesso non autorizzato al tuo Mac. Per abilitare l'utente root e impostare una password, seguire le istruzioni qui: https://support.apple.com/en-us/HT204012. Se un utente root è già abilitato, per assicurarsi che non sia stata impostata una password vuota, segui le istruzioni dalla sezione "Modifica la password di root".
Come prevenire accessi non autorizzati
Nel riconoscere la presenza della problematica, Apple ha condiviso un metodo per evitare che utenti malintenzionati possano sfruttare questa vulnerabilità per accedere al vostro Mac:
- Scegli menu Apple () > Preferenze di Sistema, quindi fai clic su Utenti e Gruppi (o Account).
- Fai clic sull'icona a forma di lucchetto, quindi inserisci il nome e la password di un amministratore.
- Fai clic su Opzioni login.
- Fai clic su Accedi (o Modifica).
- Fai clic su Apri Utility Directory.
- Fai clic sull'icona a forma di lucchetto nella finestra Utility Directory, quindi inserisci il nome e la password di un amministratore.
- Dalla barra dei menu in Utility Directory:
- Scegli Modifica > Abilita utente root, quindi inserisci la password che desideri utilizzare per l'utente root.
- Oppure scegli Modifica > Disabilita utente root.