Bug no macOS permite destravar configurações da App Store com senha errada

1 min de leitura
Imagem de: Bug no macOS permite destravar configurações da App Store com senha errada
Imagem: imore

Um novo bug de segurança de “nível amador” foi encontrado no macOS High Sierra, da Apple, nesta semana e reportado por usuários através do Open Radar. A brecha novamente é relacionada a senhas, porém consideravelmente menos grave do que aquela descoberta em novembro de 2017. Dessa vez, usuários que estejam logados em seus Macs usando contas de administrador conseguem desbloquear as configurações da App Store usando qualquer senha, inclusive combinações completamente erradas.

Tendo acesso a esse menu de configurações da loja, uma pessoa mal-intencionada pode alterar as preferências de instalação de apps e permitir que o computador da vítima baixe aplicações pagas sem solicitar autenticação. É possível também forçar atualizações de apps com possíveis vulnerabilidades de segurança ou mesmo fazer com que o sistema operacional baixe alguma versão específica que conhecidamente apresente novas brechas para exploração mais avançada.

smart people are cooler

Tecnologia, negócios e comportamento sob um olhar crítico.

Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo

macos

O novo bug não permite que um atacante roube dados dos usuários, faça espionagem ou controle uma máquina remotamente

Diretamente, entretanto, o novo bug não permite que um atacante roube dados dos usuários, faça espionagem ou controle uma máquina remotamente. Fora isso, as opções da App Store ficam desbloqueadas por padrão quando um usuário administrador faz login, o que torna o problema preocupante apenas para quem bloqueia ativamente esses recursos no macOS.

Em contas não administradoras, não é possível acessar essas opções usando uma senha incorreta. Dessa forma, não podemos considerar a falha realmente grave do ponto de vista da segurança das informações dos usuários. Contudo, tecnicamente falando, é preocupante o sistema operacional da Apple permitir que alguém faça login com uma senha errada em qualquer instância.

Reincidente

Em novembro de 2017, a situação foi muito pior. Qualquer pessoa poderia ter acesso root, de superusuário, ao macOS digitando o login “root” na tela desbloqueio do sistema e deixando o campo de senha em branco. Isso dava acesso praticamente irrestrito ao computador, expondo todo tipo de informação e configuração do usuário. Essa falha já foi consertada, e a Apple fez um pedido de desculpas públicos em seguida.

A nova brecha descoberta nessa semana já tem uma correção aplicada na versão beta 10.13.3 do SO, mas a empresa ainda não se pronunciou sobre quando ela chegará à versão estável do sistema para todos os consumidores. Atualmente, essa nova vulnerabilidade afeta apenas o macOS 10.13.2. Versões anteriores estão protegidas.

smart people are cooler

Tecnologia, negócios e comportamento sob um olhar crítico.

Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.