Ayer se descubrió un error de seguridad muy grave en macOS High Sierra, que describimos en Applesfera junto con su solución. Este error permite a un usuario que actúa como invitado en un Mac con High Sierra crear un perfil bajo el nombre "root" con permisos de administrador sin necesidad de ninguna contraseña. Con independencia de la severa e inexcusable gravedad del error, la forma en que se ha informado de él no ha sido la correcta por parte del usuario que lo ha encontrado.
Un "protocolo" para minimizar riesgos públicos
En este tipo de temas, existe un periodo de gracia que se concede a las compañías tecnológicas responsables de sistemas operativos, servicios online y software. Por lo general, cuando alguien descubre un error o vulnerabilidad se suele informar en privado a la compañía afectada. La intención es que ese error de seguridad pueda corregirse lo antes posible sin hacerlo público, evitando que se expanda su uso antes de que exista una solución a disposición del público.
Aunque haya grupos criminales, gobiernos o usuarios que ya lo estén explotando, hacerlo público lo único que consigue es atraer más atención al error y que se utilice aún más. Aquí hay también una norma no escrita de conceder alrededor de 60 días para su corrección según recomienda el blog de Google, tiempo tras el cual quien descubrió el error puede hacerlo público. Esta sería un arma de último recurso, para obligar a la empresa responsable a corregirlo consiguiendo presión exterior.
En el caso de Apple, hace poco más de un año vimos el célebre Pegasus, un conjunto de exploits en iOS 9 que permitía a quien los conocía enviar un enlace a la víctima que si se pinchaba, otorgaba control sobre cámaras, GPS y micrófonos del dispositivo atacado. Los descubridores de estos errores informaron a Apple, que lanzó con rapidez y de forma inesperada iOS 9.3.5 corrigiendo el problema.
Otro caso sonado sucedió el año pasado, cuando Google publicó un fallo crítico de Windows tan sólo 10 días después de informar a la compañía fundada por Bill Gates. Microsoft tardó otros 20 días adicionales en lanzar un parche que solucionaba este y otros errores en su sistema operativo. Google fue criticada en su momento por no conceder más tiempo a Microsoft y haber esperado a que tuvieran listo el parche, ya que abrió una ventana de tiempo en que los equipos afectados no tenían solución posible.
Cómo notificar errores de seguridad a Apple
Divulgar un error sin esperar a un parche de seguridad no es inusual. Se suele hacer cuando se ha informado a la compañía afectada y ésta ignora o no se toma en serio el problema para forzar su actuación. Sin embargo, en el caso del error descubierto ayer, el desarrollador no siguió este protocolo y no concedió a Apple la cortesía de notificarlo por las vías adecuadas.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 de noviembre de 2017
Decidió hacerlo público en Twitter en el instante que lo descubrió, exponiendo a más usuarios al riesgo de este error que, por supuesto, es responsabilidad exclusiva de Apple. Una vez que descubres el error de seguridad lo normal es otorgar la cortesía a la compañía para arreglarlo en un tiempo razonable. En el caso de encontrar agujeros de seguridad, se puede notificar a Apple siguiendo estos pasos:
-
Escribir un email a security@apple.com especificando el problema.
-
Tras su envío, deberías recibir un email automático de respuesta. Si no lo recibes, comprueba la dirección de nuevo.
-
Puedes cifrar información sensible en tu email siguiendo esta guía.
Además de seguir esta forma de notificación de fallos de seguridad, Apple informa que:
Con el fin de proteger a nuestros clientes, por lo general Apple no divulga, debate o confirma problemas de seguridad hasta que se ha realizado una investigación completa y se han publicado los parches o actualizaciones pertinentes.
Los fallos de seguridad son demasiado importantes como para hacerlos público sin notificarlo antes a la compañía afectada, dándole la oportunidad de resolverlos antes de que quienes no lo conocían se aprovechen. En este caso, el desarrollador que lo ha encontrado debería haber acudido antes a Apple. Cosa que, por la razón que sea, no hizo.
Cómo corregir el error hasta que Apple publique una actualización
Apple ha respondido oficialmente que está "trabajando en una actualización de software para resolver este problema". Mientras tanto, ha dado a conocer una guía para corregirlo. Para activar el usuario root, puedes seguir los pasos descritos en este documento de seguridad publicado por Apple en español.
Una vez hecho esto o si ya tenías activado este usuario, tendrás que seguir estos pasos para cambiar su contraseña (aquí las instrucciones originales en inglés):
-
En tu Mac, ve al menú Apple () > Preferencias de Sistema > Usuarios y grupos.
-
Haz click en el candado, después introduce el nombre del administrador y la contraseña.
-
Ve a Opciones de inicio.
-
Haz click en unirse o editar.
-
Ve a la app Directory Utility.
-
Después, hacemos clic en el candado en la esquina inferior izquierda, para poder hacer cambios. En la ventana emergente, ingresamos nuestro nombre de usuario y contraseña, para luego hacer clic en Modificar configuración.
-
Después de esto, hacemos clic en Editar en la barra de menú y seleccionamos Cambiar contraseña de root.
-
En la ventana emergente, ingresamos una contraseña y la verificamos, para luego hacer clic en Aceptar.
-
En la ventana principal de Directory Utility, hacemos clic en el candado para bloquearlo nuevamente y evitar más cambios.
-
Finalmente, salimos de Directory Utility y hemos quedado protegidos de la vulnerabilidad.
Con esto estarás protegido de la vulnerabilidad encontrada ayer en macOS High Sierra, hasta que Apple lance una actualización oficial que corrija el problema.
En Applesfera | Descubierta una vulnerabilidad que da acceso como administrador en macOS High Sierra.
Ver 27 comentarios
27 comentarios
moby13
Siento mucho decir esto pero: caray, cuánto ha perdido Applesfera.
Hace muchos años fue la web de referencia en el mundo Apple y su fanatismo por la manzana ha acabado devorando esa idea. Apple es una gran compañía pero, al igual que muchas otras, tiene sus errores como el que aquí nos encontramos.
El problema es que en este blog ya no se critica nada. Todo es perfecto. Aquí nos encontramos con un caso gravísimo de seguridad y, en vez de criticar a la compañía, se critica al usuario por cómo lo ha transmitido a Apple.
Leyendo los últimos posts vemos que han pirateado el Face ID (pero no es culpa de Apple, es que los investigadores se han aprovechado de un "caso límite"), que el notch del iPhone X molesta (pero no es malo, se puede poner un wallpaper degradado y listo) y que el famoso ARKit se ha acabado usando para que un muñeco desnudo camine contigo (pero tranquilos que "de lo absurdo surge la esperanza").
Siento mucho decir esto pero hace falta un cambio de rumbo en este blog. Si el iPhone es un teléfono caro se dice, lo pagaremos encantados los que lo queramos (y podamos) pero no por ello deja de ser caro. Y el iPad todavía no puede sustituir a un portátil si se quiere hacer algo un poco más potente.
Si Apple es una compañía que quiere acercarse al público lo primero que se debe admitir es que, como todos, se cometen errores, y eso está bien.
Juanjo Lopez
Como todo el respeto al autor: este artículo me parece totalmente equivocado.
Lo primero es que, independientemente de como se haya publicado, la culpable de la vulnerabilidad es Apple, no quien la ha descubierto (parece obvio, pero visto lo visto...).
Lo segundo: por lo que el autor está abocando, que se conoce en el mundo de la seguridad como "responsible disclosure", no es ni mucho menos un estándar aceptado universalmente (es más, después del famoso tema de las backdoors de los gobiernos, es el debate más frecuente). Entiendo que al autor le parezca lo más lógico, pero hay muchísimas sutilezas en este tema como para decir tan alegremente que se ha hecho mal.
Por último, y más importante quizás, *la vulnerabilidad ya había sido descubierta.* Esta vulnerabilidad ya había sido publicada en [los foros de Apple] (https://forums.developer.apple.com/thread/79235#277225) y en Twitter hace semanas y podía estar siendo explotada ya. Ante esto, publicar esta vulnerabilidad de la forma más ruidosa posible es una opción perfectamente razonable, para alertar a los usuarios del peligro.
Mirando los comentarios de los expertos de seguridad, hay muy pocas criticas a la forma en que se ha publicado esta vulnerabilidad (y si muchas criticas a los que, como el autor de esa artículo, pide que se haga de forma más "responsable"). Quizás no tienen razón (y estoy seguro de que hay expertos que no están de acuerdo), pero como mínimo vamos a ser menos tajantes a la hora de decir "qué se debería haber hecho al encontrar el error grave de seguridad en macOS High Sierra", por favor.
adso
Cortesía?? La cortesía con una empresa que nos cobra hasta por respirar (está en su perfecto derecho) y utiliza todos los recursos de marketing para llevarse hasta el último céntimo está de más. Me parece muy bien lo que ha hecho esta persona, al menos así adquiere algo de notoriedad como pago a su trabajo. Si Apple quiere "cortesía" que ponga un sistema adecuado de recompensas en lugar de pedir (directamente o a través de si boletín oficial, aka Applesfera) que se trabaje gratis descubriendo sus fallos.
juancanik
Me parece que el que descubrió el fallo podía haberlo vendido a la mafia si le parecía, aquí el único culpable es Apple.
De leer y no creer los artículos de este blog, ahora sólo lo sigo para echar algunas risas.
virusaco
El protocolo a seguir está muy bien descrito, es coherente y tiene sentido, solo aplicable si la persona es caricativa y va con buenas intenciones.
Para el resto de personas, la caridad y las buenas intenciones se fomentan con un sistema de recompensas equiparables al daño que podría ocasionar. Y si esas recompensas no existen o no son suficientes solo hay un culpable, y es de aquel que no ha sabido estimar el auténtico valor de un aviso a tiempo.
Salu3
cgui2
Quisiera saber si a Eduardo Archanco le consta que Lemi Orhan Ergin, no le notificó anteriormente a Apple, porque afirma que no siguió el protocolo y no concedió a Apple la cortesía de notificarlo por las vías adecuadas.
joan.romero.r
Madre mía con el fanatismo. L;a culpa es del usuario que lo ha descubvierto, por sus formas. Menuda vergüenza. Este sitio ha perdido todo hace ya tiempo.
masterfck1
Estoy flipando!!!! Eduardo!!! De verdad te crees lo que escribes? "Periodo de gracia?" PERO ESTO QUE ES!!!? Si una empresa mete la pata y deja todo al descubierto, tu nómina por ejemplo, como tienen un periodo de gracia, no pasa nada, no?
Luego que la persona que descubrió el error es el villano? NO SEÑOR!!! El hizo bien en reportarlo a la comunidad entera, así podemos prevenir que alguien haga algo indebido en nuestros equpos mientras se soluciona el problema!!!
Madre mía, de verdad no entiendo como piensa la gente hoy en día... una verdadera pena!!!
church1987
Callarse poner un tiket a apple y reportarlo y no abrir 300 links para que lo sepa todo el mundo
Pero vamos que se valla por el garete la seguridad pero hay que dar la noticia que si no no comemos