Um novo bug de segurança de “nível amador” foi encontrado no macOS High Sierra, da Apple, nesta semana e reportado por usuários através do Open Radar. A brecha novamente é relacionada a senhas, porém consideravelmente menos grave do que aquela descoberta em novembro de 2017. Dessa vez, usuários que estejam logados em seus Macs usando contas de administrador conseguem desbloquear as configurações da App Store usando qualquer senha, inclusive combinações completamente erradas.
Tendo acesso a esse menu de configurações da loja, uma pessoa mal-intencionada pode alterar as preferências de instalação de apps e permitir que o computador da vítima baixe aplicações pagas sem solicitar autenticação. É possível também forçar atualizações de apps com possíveis vulnerabilidades de segurança ou mesmo fazer com que o sistema operacional baixe alguma versão específica que conhecidamente apresente novas brechas para exploração mais avançada.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
O novo bug não permite que um atacante roube dados dos usuários, faça espionagem ou controle uma máquina remotamente
Diretamente, entretanto, o novo bug não permite que um atacante roube dados dos usuários, faça espionagem ou controle uma máquina remotamente. Fora isso, as opções da App Store ficam desbloqueadas por padrão quando um usuário administrador faz login, o que torna o problema preocupante apenas para quem bloqueia ativamente esses recursos no macOS.
Em contas não administradoras, não é possível acessar essas opções usando uma senha incorreta. Dessa forma, não podemos considerar a falha realmente grave do ponto de vista da segurança das informações dos usuários. Contudo, tecnicamente falando, é preocupante o sistema operacional da Apple permitir que alguém faça login com uma senha errada em qualquer instância.
Reincidente
Em novembro de 2017, a situação foi muito pior. Qualquer pessoa poderia ter acesso root, de superusuário, ao macOS digitando o login “root” na tela desbloqueio do sistema e deixando o campo de senha em branco. Isso dava acesso praticamente irrestrito ao computador, expondo todo tipo de informação e configuração do usuário. Essa falha já foi consertada, e a Apple fez um pedido de desculpas públicos em seguida.
A nova brecha descoberta nessa semana já tem uma correção aplicada na versão beta 10.13.3 do SO, mas a empresa ainda não se pronunciou sobre quando ela chegará à versão estável do sistema para todos os consumidores. Atualmente, essa nova vulnerabilidade afeta apenas o macOS 10.13.2. Versões anteriores estão protegidas.