macOS tem falha bizarra que deixa qualquer pessoa acessá-lo, mesmo sem senha
Uma falha bizarra no sistema de segurança do macOS High Sierra permite que, literalmente, qualquer pessoa acesse um computador da Apple ou realize alterações sensíveis no sistema operacional. Basta digitar a palavra "root" no campo de login e deixar a senha em branco, clicando duas vezes no botão "desbloquear" para que o acesso seja completamente liberado.
A vulnerabilidade foi descoberta nesta terça-feira (28) e chama a atenção por sua simplicidade, que contrasta com o tipo de permissão que lhe é dada. Enquanto o macOS possui uma série de recursos que podem restringir o acesso de usuários a funcionalidades do sistema, de acordo com as opções dadas ao administrador, a utilização do computador por meio deste bug abre todas as portas da plataforma, deixando-a totalmente acessível e completamente vulnerável a qualquer tipo de ação.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 de novembro de 2017
A descoberta foi feita por Lemi Orhan Ergin, um desenvolvedor de software da Turquia que diz ter percebido a falha enquanto tentava auxiliar no reestabelecimento de uma conta de usuário. Ele afirma ter tentado o mesmo procedimento em outros computadores, confirmando, assim, a existência de tamanha vulnerabilidade. O especialista diz ter ficado bastante "assustado", o que o levou a compartilhar o achado com outros membros da indústria, além da própria Apple.
A brecha pode ser utilizada tanto fisicamente, com acesso direto ao computador, quanto por meio de acesso remoto. Além disso, ela vale desde o acesso inicial em si até as alterações no sistema operacional, o que permite a ação livre e desimpedida de malwares e outros tipos de pragas usadas pelos hackers.
É justamente nesse último quesito que está o maior perigo. Criminosos virtuais poderiam, simplesmente, replicar a ação realizada fisicamente por meio de um software e, assim, teriam acesso a todos os recursos do sistema, podendo baixar novas pragas, roubar dados, transformar o computador em uma máquina zumbi ou fazer, basicamente, tudo aquilo que quiserem com ela.
Apesar de não ter sido possível verificá-la em alguns casos, provavelmente devido à presença de softwares de proteção que impedem o acesso à raiz do sistema operacional, diversos especialistas em segurança confirmaram a existência da brecha. A Apple também admitiu o problema e disse estar trabalhando em uma solução, que deve ser liberada o mais rapidamente possível por meio de uma atualização de software.
A política normalmente silenciosa da Maçã, entretanto, deve deixar no campo das especulações os motivos exatos para a vulnerabilidade. Não se sabe, por exemplo, se a falha é apenas um bug, se foi só um vacilo dos programadores ou se trata de uma backdoor implantada intencionalmente, com motivos escusos. A maioria dos especialistas, entretanto, acredita na primeira hipótese.
Felizmente, a simplicidade de utilização da brecha é comparável à atitude necessária para solucioná-la. Enquanto a Apple não libera uma atualização, o melhor caminho para evitar o acesso indevido à própria máquina é configurar uma senha para o usuário root, impedindo, assim, a utilização do computador apenas com o campo vazio. A solução também foi recomendada pela Apple quando questionada pela imprensa internacional.
A vulnerabilidade está disponível apenas na iteração High Sierra do macOS, em todas as versões lançadas desde a disponibilização oficial da plataforma, em 25 de setembro. Edições anteriores do sistema operacional, por outro lado, não sofrem com a falha.
Canaltech
