¿Apple ya está prestando atención a la seguridad de macOS?

Una nueva falla de seguridad de Mac le permite escribir literalmente cualquier nombre de usuario y contraseña para desbloquear el panel de Mac App Store en Preferencias del sistema. Probablemente no sea gran cosa en la práctica, el panel está desbloqueado de forma predeterminada, pero el hecho de que este problema exista es un recordatorio preocupante de que Apple no está priorizando la seguridad como solía hacerlo.

RELACIONADO: Un gran error de macOS permite el inicio de sesión de root sin una contraseña. Aquí está la solución

Lo entiendo: los periodistas de tecnología tienden a perder la cabeza cuando se trata de Apple. El más mínimo defecto se promociona más allá de lo creíble, se le da un nombre que termina en «puerta» y luego se olvida en un mes. En este punto, es un ciclo regular y dificulta que los lectores reconozcan los problemas reales.

Un poco de historia

Así que repasemos rápidamente. En noviembre de 2017, un error de macOS permitió a cualquiera crear una cuenta de root sin una contraseña en las Preferencias del Sistema simplemente escribiendo «root» como nombre de usuario e inventando literalmente cualquier contraseña. En lugar de negarle el acceso, como lo haría un sistema bien diseñado, macOS High Sierra simplemente crearía una cuenta raíz con la contraseña que ingresó.

Además de ser inseguro para la mente, este es un comportamiento extraño. ¿Por qué diablos inventar una contraseña de root crearía una cuenta de root de la nada? ¿Qué está sucediendo en el backend que lo hace posible?

Es difícil de imaginar, razón por la cual este no fue un caso de periodistas de tecnología exagerando. Fue muy, muy malo.

Relacionado:  ¿Por qué el software macOS a veces se etiqueta como "Darwin"?

Y la limpieza después de ese error no inspiró mucha más confianza. Claro, Apple emitió un parche que solucionó el problema, pero muchos usuarios terminaron reintroduciendo el problema si instalaron la actualización 10.13.1 de una semana después de la instalación. Solo con el lanzamiento de 10.13.2 se solucionó el problema por completo, y eso no fue hasta diciembre de 2017.

Pero al menos ese fue el final. ¿Correcto?

El último problema

No exactamente. Resulta que hay más problemas de seguridad inexplicables en las Preferencias del Sistema. Puedes volver a crear este fácilmente en 10.13.2 si quieres jugar en casa, ¡así que abre una ventana y únete a mí! Abra Preferencias del sistema en una cuenta de administrador y luego diríjase a App Store. Notarás que el candado en la parte inferior izquierda está abierto de forma predeterminada, lo que significa que puedes cambiar la configuración.

No estoy seguro de por qué la cerradura está allí si está desbloqueada de forma predeterminada, pero lo que sea. Haga clic en el candado para «asegurar» este panel y luego vuelva a hacer clic para desbloquearlo. Aquí está el truco: puede escribir literalmente cualquier contraseña que desee y el panel se desbloqueará.

Lo mismo ocurre con el nombre de usuario: puedes poner lo que quieras en ese campo y el panel se desbloqueará. Escribí «Harry» como nombre de usuario y «es tonto» como contraseña y funcionó; también lo hizo «Justin» y «es increíble».

En la práctica, esto no es un gran problema: de nuevo, el panel en cuestión no está bloqueado de forma predeterminada, y desbloquear este panel no le da acceso a ningún otro panel bloqueado.

Relacionado:  Cómo personalizar o deshabilitar efectos de sonido en macOS

El problema es que no sabemos por qué está sucediendo esto y si el error que lo permite puede existir en otro lugar. Al igual que con el error anterior, es sorprendente que nadie haya detectado este problema en las pruebas, y realmente te hace preguntarte cuánto puedes confiar en macOS para mantener tus datos bloqueados.

Estamos seguros de que una actualización arreglará esto, especialmente ahora que los medios están haciendo un escándalo. Pero al contrario de lo que podría pensar, no me gusta armar un escándalo. Prefiero que las cosas estén cerradas. Apple necesita mejorar su juego en el frente de la seguridad, porque cosas como esta hacen que parezca que ni siquiera están prestando atención.