Un grave fallo de seguridad en macOS High Sierra permite acceder como root sin usar una contraseña

Actualización: Apple ha lanzado una actualización que resuelve la vulnerabilidad. Según señala la compañía, los usuarios de macOS High Sierra deberían instalarla lo antes posible.

Noticia original: Los usuarios de un ordenador Apple actualizado a macOS High Sierra están potencialmente afectados por un gravísimo fallo de seguridad gracias al cual cualquier usuario podría acceder al equipo con privilegios root sin necesidad si quiera de conocer la contraseña. El proceso, tan sumamente sencillo que resulta difícil de comprender cómo pudo escapar a la fase de testeo, ha sido hecho público por un usuario de Twitter, poniendo sobre aviso a otras personas y a la propia Apple.

Tal y como puede comprobar cualquier usuario de macOS High Sierra, para acceder a un equipo con privilegios de administración completos tan solo hay que dirigirse a una ventana que requiera un nombre de usuario y una clave. A continuación basta con introducir "root" como nombre (sin comillas) y dejar en blanco el campo correspondiente a la contraseña. Y eso es todo. Como mucho, en algunos casos pueden ser necesarios varios intentos.

El fallo afecta a todos los equipos con acceso para invitados o que no hayan cambiado la contraseña root, que posiblemente son la mayoría.


En su estado actual el fallo requiere acceso físico al equipo. No obstante, ArsTechnica señala la preocupación de algunos investigadores, que creen que el componente afectado por la vulnerabilidad podría ser utilizado para lanzar un ataque de escalada de privilegios gracias al cual se podría reproducir de forma remota o mediante algún tipo de malware, sin necesidad de estar en contacto directo con el ordenador.

Si bien esta no es la primera vulnerabilidad descubierta en High Sierra, sí es con mucha diferencia la más grave hasta el momento. Apple ya ha anunciado que está trabajando en algún tipo de parche para solucionarla. Mientras tanto, la recomendación oficial es no desactivar el usuario root (puesto que puede ser reactivado fácilmente con solo introducirlo en la pantalla de login), protegiéndolo en su lugar con una contraseña compleja según se indica en el sitio del fabricante.

Fuente: Bloomberg
Todos los Os tienen fallos y bug, no se libra ni uno. Unos mas graves que otros pero al final salen a la luz los de todos ya sea Windows, Mac o Linux.
Oh cielos! Si eso solo pasa en windows! [sati]
No, Mac no tiene fallos [poraki]
Alejo I escribió:basta con introducir "root" como nombre (sin comillas) y dejar en blanco el campo correspondiente a la contraseña

[facepalm]
josesoria escribió:Todos los Os tienen fallos y bug, no se libra ni uno. Unos mas graves que otros pero al final salen a la luz los de todos ya sea Windows, Mac o Linux.



Correcto , seguro que no tardan en actualizarlo
La pregunta que me deja estupefacto es... ¿porque narices el root está sin contraseña??? Por lo que veo la solución, incluso antes de que apple pueda parchear nada, es sencillamente ponerle una contraseña y problema solucionado. Supongo que eso ha pasado los test de seguridad probablemente por el nivel de gilipollez que es... a la par que fallo de seguridad gigantesco.
Parece que incluso aunque el usuario root no esté activado, el fallo persiste ¬_¬

[facepalm]
Menudo fail, ni que fueran Microsoft...

De todas formas eso no es ni si quiera un bug, bastaría con, en la primera instalación (o después de instalar el parche) obligar al usuario a introducir una contraseña de root.
O lo que hacen muchas distribuciones de Linux (y yo pensaba que también hacía OSX), poner a root la misma contraseña que el usuario que instala el SO.
Dartanyan escribió:Parece que incluso aunque el usuario root no esté activado, el fallo persiste ¬_¬

[facepalm]


Lo pone arriba...aunque se desactive se puede reactivar, lo que hay que hacer es ponerle una contraseña y listo, luego lo desactivas si quieres... la solución es simple.
Veremos otro "TheFappening" en los próximos días? [666]
Que se note el sobrecoste
Jodó, el fail es como una casa no, como un rascacielos de grande. Nivel "hacker infantil de 8 años en blockbuster de verano"
Esto me recuerda la epoca en que la publicidad de los Mac se basaba en que no tenian virus y que era mas seguro...
Menuda patinada más grande de Apple, esta hará historia.

La seguridad no existe, pero este fallo es de una calidad de producto muy baja.
madremia que cadaga, los mac no necesitan antivirus [plas] [plas] [plas] [plas] [plas] [plas] [plas] me descojono
ajvulcan escribió:La pregunta que me deja estupefacto es... ¿porque narices el root está sin contraseña??? Por lo que veo la solución, incluso antes de que apple pueda parchear nada, es sencillamente ponerle una contraseña y problema solucionado. Supongo que eso ha pasado los test de seguridad probablemente por el nivel de gilipollez que es... a la par que fallo de seguridad gigantesco.


El tema es que el usuario root está deshabilitado, al hacer el primer intento de entrada como root falla por que el user no existe pero... lo crea y lo crea sin password por que no has puesto ninguna.
Pero bueno lo acabamos de probar en el mac de un compi aquí en mi curro y en cuanto se ha creado el usuario root sin clave, ha cerrado sesión, ha entrado como root y se ha cambiado la contraseña. Así se evita cualquier problema de seguridad.

En todo caso más que fallo de seguridad es una cagada que supongo corregirán en breve y no hay que olvidar que para explotar esta "cagada" tienen que tener acceso físico a tu equipo y que la sesión con tu usuario esté iniciada y no esté bloqueada.
ElHobbit escribió:
El tema es que el usuario root está deshabilitado, al hacer el primer intento de entrada como root falla por que el user no existe pero... lo crea y lo crea sin password por que no has puesto ninguna.
Pero bueno lo acabamos de probar en el mac de un compi aquí en mi curro y en cuanto se ha creado el usuario root sin clave, ha cerrado sesión, ha entrado como root y se ha cambiado la contraseña. Así se evita cualquier problema de seguridad.

En todo caso más que fallo de seguridad es una cagada que supongo corregirán en breve y no hay que olvidar que para explotar esta "cagada" tienen que tener acceso físico a tu equipo y que la sesión con tu usuario esté iniciada y no esté bloqueada.


¿cagada? es un fallo de seguridad gravísimo,

Según comentan no hace falta tener acceso físico a tu equipo si tienes activado el compartir escritorio.
http://www.elmundo.es/tecnologia/2017/1 ... b464f.html

Y aquí en elotrolado.net indican que es muy fácil para una aplicación hacerse con el control del sistema.

Y el riesgo no viene sólo de hackers robatarjetas, el riesgo viene de familiares/amigos fisgones.

Con lo que hay que avisar rápidamente a todos los que tengan Apple.

Edito: ahora apple va a demostrar que puede alterar el usuario root de sus dispositivos de forma remota mediante un parche..... como mola la privacidad....


PD:
¿lo ha descubierto el hacker "cansino"?
al menos en el router tienes que poner admin, admin.
@Jormavio realmente no debería ser un problema en remoto porque nadie en su sano juicio abre el puerto externo por dwfecto, en este caso el 5900

Con redirigir un puerto diferente externo al 5900 arreglado

Aunque a día de hoy configuras un VPN server y no hace falta abrir más puertos aparte de los de VPN

En algunos routers se usa admin sin pass y incluso sin usuario y solo password
ElHobbit escribió:
ajvulcan escribió:La pregunta que me deja estupefacto es... ¿porque narices el root está sin contraseña??? Por lo que veo la solución, incluso antes de que apple pueda parchear nada, es sencillamente ponerle una contraseña y problema solucionado. Supongo que eso ha pasado los test de seguridad probablemente por el nivel de gilipollez que es... a la par que fallo de seguridad gigantesco.


El tema es que el usuario root está deshabilitado, al hacer el primer intento de entrada como root falla por que el user no existe pero... lo crea y lo crea sin password por que no has puesto ninguna.
Pero bueno lo acabamos de probar en el mac de un compi aquí en mi curro y en cuanto se ha creado el usuario root sin clave, ha cerrado sesión, ha entrado como root y se ha cambiado la contraseña. Así se evita cualquier problema de seguridad.

En todo caso más que fallo de seguridad es una cagada que supongo corregirán en breve y no hay que olvidar que para explotar esta "cagada" tienen que tener acceso físico a tu equipo y que la sesión con tu usuario esté iniciada y no esté bloqueada.

https://twitter.com/patrickwardle/statu ... 4437935105

Se puede explotar remotamente.
High Sierra se está ganando una fama bastante maja :Ð

Fallos en las gráficas Nvidia de modelos antiguos, gente que no puede instalar, algunos problemas con APFS, etc...

Bien por Apple y cada vez tardan mas en arreglar fallos-bugs.
josemurcia escribió:
ElHobbit escribió:
ajvulcan escribió:La pregunta que me deja estupefacto es... ¿porque narices el root está sin contraseña??? Por lo que veo la solución, incluso antes de que apple pueda parchear nada, es sencillamente ponerle una contraseña y problema solucionado. Supongo que eso ha pasado los test de seguridad probablemente por el nivel de gilipollez que es... a la par que fallo de seguridad gigantesco.


El tema es que el usuario root está deshabilitado, al hacer el primer intento de entrada como root falla por que el user no existe pero... lo crea y lo crea sin password por que no has puesto ninguna.
Pero bueno lo acabamos de probar en el mac de un compi aquí en mi curro y en cuanto se ha creado el usuario root sin clave, ha cerrado sesión, ha entrado como root y se ha cambiado la contraseña. Así se evita cualquier problema de seguridad.

En todo caso más que fallo de seguridad es una cagada que supongo corregirán en breve y no hay que olvidar que para explotar esta "cagada" tienen que tener acceso físico a tu equipo y que la sesión con tu usuario esté iniciada y no esté bloqueada.

https://twitter.com/patrickwardle/statu ... 4437935105

Se puede explotar remotamente.


Nadie usa el puerto 5900 externo por lo menos alguien que sepa algo con lo cual deberían de escanear puertos de tu router y el firewall del router lo pararía

Realmente no es explotable remotamente fácilmente si tienes precaucion
berny6969 escribió:Nadie usa el puerto 5900 externo por lo menos alguien que sepa algo con lo cual deberían de escanear puertos de tu router y el firewall del router lo pararía

Realmente no es explotable remotamente fácilmente si tienes precaucion

Se te olvida que la gente se conecta a redes WiFi públicas o compartidas con sus portátiles de forma habitual, y ahí son completamente vulnerables.

Solo paseándote por una universidad verás que hay decenas equipos potencialmente vulnerables.
josemurcia escribió:
berny6969 escribió:Nadie usa el puerto 5900 externo por lo menos alguien que sepa algo con lo cual deberían de escanear puertos de tu router y el firewall del router lo pararía

Realmente no es explotable remotamente fácilmente si tienes precaucion

Se te olvida que la gente se conecta a redes WiFi públicas o compartidas con sus portátiles de forma habitual, y ahí son completamente vulnerables.

Solo paseándote por una universidad verás que hay decenas equipos potencialmente vulnerables.


en ese caso tampoco sería muy importante no crees?

De que te sirve atacar a un equipo temporal?

Y los servicios de compartir están desactivados por defecto
berny6969 escribió:
josemurcia escribió:
berny6969 escribió:Nadie usa el puerto 5900 externo por lo menos alguien que sepa algo con lo cual deberían de escanear puertos de tu router y el firewall del router lo pararía

Realmente no es explotable remotamente fácilmente si tienes precaucion

Se te olvida que la gente se conecta a redes WiFi públicas o compartidas con sus portátiles de forma habitual, y ahí son completamente vulnerables.

Solo paseándote por una universidad verás que hay decenas equipos potencialmente vulnerables.


en ese caso tampoco sería muy importante no crees?

De que te sirve atacar a un equipo temporal?

Y los servicios de compartir están desactivados por defecto

Como si hicieran falta más de 5 segundos para infectar un equipo una vez se tiene acceso a él.

Estamos hablando de el peor tipo de los fallos de seguridad que existen, permitir acceder como administrador a una máquina y encima remotamente.
josemurcia escribió:
berny6969 escribió:
josemurcia escribió:Se te olvida que la gente se conecta a redes WiFi públicas o compartidas con sus portátiles de forma habitual, y ahí son completamente vulnerables.

Solo paseándote por una universidad verás que hay decenas equipos potencialmente vulnerables.


en ese caso tampoco sería muy importante no crees?

De que te sirve atacar a un equipo temporal?

Y los servicios de compartir están desactivados por defecto

Como si hicieran falta más de 5 segundos para infectar un equipo una vez se tiene acceso a él.

Estamos hablando de el peor tipo de los fallos de seguridad que existen, permitir acceder como administrador a una máquina y encima remotamente.


no tiene ningún sentido lo que dices si quieres putear a alguien aún pero si que explotar una maquina remotamente en una wifi pública sino tiene los servicios activos ya no funciona

Y luego en caso de que tengas los servicios activos y logren entrar luego cuando desconectar de la wifi pública ya no pueden explotarla cuando estés en casa sino tienes puertos abiertos
berny6969 escribió:no tiene ningún sentido lo que dices si quieres putear a alguien aún pero si que explotar una maquina remotamente en una wifi pública sino tiene los servicios activos ya no funciona

Y luego en caso de que tengas los servicios activos y logren entrar luego cuando desconectar de la wifi pública ya no pueden explotarla cuando estés en casa sino tienes puertos abiertos

No hace falta tener los puertos abiertos, tan fácil como infectar con un servicio que establezca una conexión saliente cada vez que el equipo se conecte a internet a un servidor que tengas escuchando.

En serio, una vez tienes acceso root, la seguridad está completamente rota.
Habría estado bien saberlo cuando hace unos días me tope con otro bugazo en high sierra, que al cambiarle el nombre de usuario, directamente ya no dejaba tener permisos ni como ese usuario ni como ningun otro.
Es decir, Mac recién instalado limpio, le cambiamos el nombre al usuario y adios a instalar aplicaciones ya sea normal o por consola, "usuario no aparece en la tabla de sudo".
Y lo típico, perder dos horas con los incompetentes del servicio técnico, hasta que obtienes la misma respuesta de siempre, o reinstalas sistema o pasamos nota a ingeniería y tardaran entre 2 y 4 semanas en resolverlo.
La madre que los pario, están cambiando pero a peor y con creces.
josemurcia escribió:
berny6969 escribió:no tiene ningún sentido lo que dices si quieres putear a alguien aún pero si que explotar una maquina remotamente en una wifi pública sino tiene los servicios activos ya no funciona

Y luego en caso de que tengas los servicios activos y logren entrar luego cuando desconectar de la wifi pública ya no pueden explotarla cuando estés en casa sino tienes puertos abiertos

No hace falta tener los puertos abiertos, tan fácil como infectar con un servicio que establezca una conexión saliente cada vez que el equipo se conecte a internet a un servidor que tengas escuchando.

En serio, una vez tienes acceso root, la seguridad está completamente rota.


Sigues necesitando un puerto abierto para lo que dices con una conexión saliente no puedes comunicarte con el equipo es necesario el puerto entrante

@tiko18 solo tenías que arrancar con el.recovery y darle a reparar permisos
berny6969 escribió:
josemurcia escribió:
berny6969 escribió:no tiene ningún sentido lo que dices si quieres putear a alguien aún pero si que explotar una maquina remotamente en una wifi pública sino tiene los servicios activos ya no funciona

Y luego en caso de que tengas los servicios activos y logren entrar luego cuando desconectar de la wifi pública ya no pueden explotarla cuando estés en casa sino tienes puertos abiertos

No hace falta tener los puertos abiertos, tan fácil como infectar con un servicio que establezca una conexión saliente cada vez que el equipo se conecte a internet a un servidor que tengas escuchando.

En serio, una vez tienes acceso root, la seguridad está completamente rota.


Sigues necesitando un puerto abierto para lo que dices con una conexión saliente no puedes comunicarte con el equipo es necesario el puerto entrante

Para nada, para algo existe UPnP.
berny6969 escribió:
josemurcia escribió:
berny6969 escribió:no tiene ningún sentido lo que dices si quieres putear a alguien aún pero si que explotar una maquina remotamente en una wifi pública sino tiene los servicios activos ya no funciona

Y luego en caso de que tengas los servicios activos y logren entrar luego cuando desconectar de la wifi pública ya no pueden explotarla cuando estés en casa sino tienes puertos abiertos

No hace falta tener los puertos abiertos, tan fácil como infectar con un servicio que establezca una conexión saliente cada vez que el equipo se conecte a internet a un servidor que tengas escuchando.

En serio, una vez tienes acceso root, la seguridad está completamente rota.


Sigues necesitando un puerto abierto para lo que dices con una conexión saliente no puedes comunicarte con el equipo es necesario el puerto entrante

@tiko18 solo tenías que arrancar con el.recovery y darle a reparar permisos


Esa fue una de las opciones que se probaron en las dos horas de perdida de tiempo con el servicio técnico, sin llegar a nada por supuesto. Gracias igualmente por la anotación.
Al final como es lógico se reinstaló todo de nuevo y listo.
A veces parece que es un windows xp mas que un mac, bueno mas bien un Ubuntu 8 que se asemeja mas a mi parecer. I+D bien pagado por supuesto :D.
@josemurcia upnp debería estar abierto también ya son demasiados tendrias...

@tiko18 dese recovery no necesitas sudo con lo cual abres terminal "chown -R usuario /Volumes/disco/Usera/loquesea"

Y solucionado
De verdad esto es un fallo?

Yo lo veo una tonteria, sinceramente..

Es como si compras una casa con la puerta, pero te dicen que la cerradura la pongas tu si quieres...

Si no configuras la contraseña de root al instalar un sistema operativo o al comprar un mac, es que no sabes ni lo que tienes en las manos, ni mas ni menos.. [bye]
berny6969 escribió:@josemurcia upnp debería estar abierto también ya son demasiados tendrias...

@tiko18 dese recovery no necesitas sudo con lo cual abres terminal "chown -R usuario /Volumes/disco/Usera/loquesea"

Y solucionado

UPnP viene activado en casi todos los routers desde hace eones, como te crees que establecen conexiones todos los dispositivos que tienes en casa. Nadie tiene que abrir puertos para ver Netflix o para jugar online con su videoconsola.
zeprofi escribió:De verdad esto es un fallo?

Yo lo veo una tonteria, sinceramente..

Es como si compras una casa con la puerta, pero te dicen que la cerradura la pongas tu si quieres...

Si no configuras la contraseña de root al instalar un sistema operativo o al comprar un mac, es que no sabes ni lo que tienes en las manos, ni mas ni menos.. [bye]


Cierto que es una cosa muy básica, pero precisamente por eso es tan grave. Cualquier sistema tiene fallos, pero éste es demasiado evidente y sencillo.

El problema añadido es que de toda la vida se ha vendido la noción de que Mac era la opción para la gente que quiere hacer cosas con su ordenador y no preocuparse de hacerlo funcionar o de configuraciones de seguridad, que no había virus, etc.

Un mítico: https://www.youtube.com/watch?v=ZwQpPqPKbAw

Y no, no soy ningún hater de Apple ni mucho menos. Pero no se puede minimizar el problema tampoco.
berny6969 escribió:@josemurcia upnp debería estar abierto también ya son demasiados tendrias...

@tiko18 dese recovery no necesitas sudo con lo cual abres terminal "chown -R usuario /Volumes/disco/Usera/loquesea"

Y solucionado


Vuelvo a indicarte que ya se probo, sin resultado, literalmente. Yo lo hice tres veces pensando que no habia surtido efecto la primera vez, aunque en realidad era fallo del sistema.
La cuestión es que al cambiarle el nombre al usuario, el sistema se rallo y genero un id a ese usuario en vez del nombre. Se probo con el id interno del sistema y se probo con el nombre de usuario sin resultado alguno.
Al iniciar sesión en el equipo podías entrar y reconocía la contraseña a la perfección, pero cuando necesitabas instalar algo, adiós, no se podía de ninguna forma. Supongo que sera algo puntual, pero me toco muchísimo los cojones, por que en el tiempo del servicio técnico no me dio, literalmente ninguna solución, podría haber reinstalado el sistema completo.
Gracias de todas formas, ya me lo apunte por si en algún futuro me sirve de algo la solución que me diste.
bartletrules escribió:
zeprofi escribió:De verdad esto es un fallo?

Yo lo veo una tonteria, sinceramente..

Es como si compras una casa con la puerta, pero te dicen que la cerradura la pongas tu si quieres...

Si no configuras la contraseña de root al instalar un sistema operativo o al comprar un mac, es que no sabes ni lo que tienes en las manos, ni mas ni menos.. [bye]


Cierto que es una cosa muy básica, pero precisamente por eso es tan grave. Cualquier sistema tiene fallos, pero éste es demasiado evidente y sencillo.

El problema añadido es que de toda la vida se ha vendido la noción de que Mac era la opción para la gente que quiere hacer cosas con su ordenador y no preocuparse de hacerlo funcionar o de configuraciones de seguridad, que no había virus, etc.

Un mítico: https://www.youtube.com/watch?v=ZwQpPqPKbAw

Y no, no soy ningún hater de Apple ni mucho menos. Pero no se puede minimizar el problema tampoco.


Claro! Y en realidad no es un fallo..

Quiza el fallo sea que en el primer inicio no se oblige a establecer una contraseña al usuario root.. Pero tampoco se puede establecer una contraseña al root (por que seria generica para todos), ni tampoco algo aleatorio, por que el usuario no la recordaría..

Mas bien creo que es una medida de prevención contra usuarios pardillos que se compran un mac y luego se les olvida la contraseña de root por que pusieron una super segura hace 2 años, y claro, esa cuenta no la usan nunca...

Si ya no tienen la suficiente cabeza como para establecer contraseñas al root, imaginate como para recordar algo que nunca usan.. [facepalm]
y aqui medio hilo de gente intentando justificar que "no es pa tanto", o "no es un fallo de seguridad"

[facepalm] [facepalm] [facepalm]

cualquier persona con unos conocimientos MINIMOS en seguridad de sistemas macOS con acceso root al sistema durante 1,5 o 2 segundos (no hace falta mas) te viola el sistema de por vida o en su defecto hasta que formatees el sistema y reinstales de cero.

Si sumanos a lo anterior el fallo de seguridad en el firmware del subsistema de los ultimos micros de intel, pues hacemos el "combo-wombo", y ya te han violado el ordenador de por vida sin que puedas hacer nada para solucionarlo, y peor aun, sin que lo sepas.
Que casualidad que hasta ahora ese fallo no estaba presente y de repente en una actualización dejan esa puerta abierta sin avisar a los usuarios...

Llamadme conspirador pero suena a backdoor por parte de la CÍA/NSA en colaboración con Apple.

Un saludo
nemesis_21 escribió:Que casualidad que hasta ahora ese fallo no estaba presente y de repente en una actualización dejan esa puerta abierta sin avisar a los usuarios...

Llamadme conspirador pero suena a backdoor por parte de la CÍA/NSA en colaboración con Apple.

Un saludo


Esto no es un backdoor, es un "TOMA LAS LLAVES DE MI FRONT DOOR Y CONTRASEÑA DE LA ALARMA" en toda regla :D.

Todos sabemos de todas formas que instalar una actualización de apple ya sea en pc o iphone durante el primer año o mas es un suicidio jeje.

Es a lo que nos tienen acostumbrados.
Pena que no sea en los iphone, The fapening 2.0 en 0,
kai_dranzer20 está baneado por "Game Over"
no me lo x-pera-ba
berny6969 escribió:@josemurcia upnp debería estar abierto también ya son demasiados tendrias...


Para nada, basta que el programa que metas establezca una conexión saliente con un command & control (que puede ser algo tan simple como una cuenta en twitter o un IRC) y desde ahí le indicas que establezca un túnel inverso a la dirección que te de la gana.

Eso suponiendo que quieras realmente acceso directo al equipo, si te vale con añadirlo a tu botnet ni siquiera necesitas el túnel, con la conexión saliente para leer órdenes del command & control te sobra.
Ya está solucionado, han sacado una actualización.
Esto le pasa a M$ y se les cae encima la del pulpo, pero como lo hace la fuente inagotable de artículos ultra mega chupi guais para la secta hipsteriana, no pasa nada. Como con el fappening, ¿cuántas afectadas no se habrán vuelto a comprar el nuevo ifon de turno? Es que lo de la secta nunca dejará de asombrarme.
jordigo escribió:Como con el fappening,

¿Sabes cómo consiguieron las fotos?

El problema gordo de todo esto es la cantidad de gente que no se molesta ni en mirar las actualizaciones y estas se va acumulando
zeprofi escribió:Claro! Y en realidad no es un fallo..

Quiza el fallo sea que en el primer inicio no se oblige a establecer una contraseña al usuario root.. Pero tampoco se puede establecer una contraseña al root (por que seria generica para todos), ni tampoco algo aleatorio, por que el usuario no la recordaría..

Mas bien creo que es una medida de prevención contra usuarios pardillos que se compran un mac y luego se les olvida la contraseña de root por que pusieron una super segura hace 2 años, y claro, esa cuenta no la usan nunca...

Si ya no tienen la suficiente cabeza como para establecer contraseñas al root, imaginate como para recordar algo que nunca usan.. [facepalm]


Si el usuario olvida la contraseña es problema del usuario, pero no se puede defender o disculpar esta cagada llamándola "medida de prevención". Lo siento, pero no. Es como no ponerle cerradura a la puerta de casa porque tengan miedo de que perdamos la llave.

Otra cosa es que, efectivamente, podrían obligar a establecer contraseña root nada más iniciar sesión, explicándole al cliente la importancia que tiene y lo que puede pasar si la pierde, y se acaba el problema.

Si ya lo han parcheado, me alegro por los usuarios. Pero con temas de seguridad, no se puede ser condescendiente ni comprensivo con las desarrolladoras. Sobre todo tratándose de Apple, Microsoft, Google... que son empresas multimillonarias y con los mejores recursos técnicos y humanos posibles. No son (ya no) dos chavales currándose el código en un garage.
Ya han sacado una actualización de seguridad para enmendar el fallo
Pero ¿Apple no era la salvadora de la humanidad, y macOS uno de sus mesías perfectos? :?
65 respuestas
1, 2