Se você coloca uma senha para proteger a sua conta em seu macOS High Sierra, pode estar certo de que será bem difícil para alguém tentar driblar essa barreira, correto? Não. O programador turco Lemi Orhan Ergin, cofundador da empresa Software Craftmanship Turkey, descobriu a falha e tweetou sobre ela ontem (28).
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
O problema é o seguinte: quando o sistema pede a confirmação de login, seja para acessar uma conta ou mesmo para desativar a proteção com senha do sistema, basta usar o nome de usuário “root” e clicar sobre o botão de login por diversas vezes. Invariavelmente, em um dado momento o sistema operacional dará sequência e aceitará as credenciais como legítima, mesmo que nenhuma senha tenha sido digitada.
No exemplo citado por Ergin, ele foi até as preferências do sistema, acessou a seção de usuários e grupos e, por fim, clicou sobre o cadeado para ativar as alterações feitas no sistema. Lá, realizou o procedimento descrito no parágrafo anterior e, enfim, conseguiu aplicar as mudanças sem digitar a própria senha.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28 de novembro de 2017
Ele notificou a Apple sobre a falha e a postura da companhia foi avisar que uma correção está sendo desenvolvida, além de instruir os usuários a se protegerem da falha temporariamente.
“Estamos trabalhando em uma atualização de software para corrigir esse problema”, informou a companhia. “Enquanto isso, defina uma senha root para evitar acessos não autorizados ao seu Mac. Para ativar o Usuário Root e definir uma senha, por favor, siga estas instruções. Se um Usuário Root já está ativado, para garantir que uma senha em branco não está definida, favor seguir as instruções da seção ‘Mudar a senha root’.”
Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp
— Amit Serper (@0xAmit) 28 de novembro de 2017
Vale lembrar que esta não foi a primeira falha de segurança envolvendo senhas descoberta na versão mais recente do sistema da Apple. Em setembro, logo após o seu lançamento, um especialista em segurança digital descobriu uma brecha no sistema de gerenciamento de senhas, o “Acesse às Chaves”, que permitia roubo de logins. Este problema, contudo, já foi resolvido.
Fontes