Scavalcare la password di un Mac è un po’ troppo facile

In macOS High Sierra (10.13.2) c’è una falla che consente a un intruso locale di scavalcare in parte le protezioni del sistema operativo. Se il Mac è attivo con un account da amministratore (cosa normale) ed è momentaneamente incustodito (una classica situazione in famiglia o in ufficio, per esempio), un aggressore non ha bisogno di sapere la password di amministratore per cambiarne le impostazioni in alcune delle Preferenze di Sistema: il Mac accetta qualunque cosa scriviate come password.

Per esempio, se andate nelle Preferenze di Sistema e cliccate sull’icona dell’App Store e poi sul lucchetto per avere il permesso di effettuare modifiche, compare sullo schermo una richiesta di password, ma macOS accetta qualunque digitazione, sbloccando anche altre Preferenze di Sistema che normalmente sono protette da password. Questo consente a un aggressore, per esempio, di sbloccare gli acquisti nell’App Store (scenario classico: figlio o figlia che vuole comprare un gioco ma i genitori hanno bloccato gli acquisti). Le sezioni Utenti e Gruppi e Sicurezza e Privacy non hanno questa magagna.

Ho realizzato un video spiccio per dimostrare la falla su uno dei miei Mac:

Apple sta già correggendo questo difetto decisamente imbarazzante e rilascerà prossimamente un aggiornamento di macOS che la chiude. Nel frattempo, se avete amici che si vantano un po’ troppo della sicurezza del loro Mac, ora sapete come ridimensionarli.