La perferzione è un miraggio anche per chi, come Apple, storicamente si è sempre vantata della sicurezza intrinseca dei propri dispositivi e sistemi operativi. Un nuovo bug è stato scoperto in macOS High Sierra, o meglio nella versione 10.13.2 della piattaforma, frutto dell'aggiornamento prontamente rilasciato da Cupertino dopo la scoperta della vulnerabilità Spectre. L'update ha, sì, risolto il rischio di attacchi con esecuzione di codice da remoto, ma ha introdotto un qualche difetto software osservato da alcuni utenti e denunciato su OpenRadar, un sito di segnalazione di bug.
Il difetto permette a un utente che sia in possesso di credenziali di admin di modificare le preferenze dell'App Store anche senza conoscere le parole chiave impostate dal leggittimo proprietario del profilo. Una volta accreditato come admin, infatti, l'utente può cambiare le impostazioni del marketplace usando una qualsiasi password. Dunque, nel caso un eventuale malintenzionato abbia già ottenuto le credenziali di amministratore, sarà possibile per lui fare danni attraverso l'App Store, per esempio abilitando i download a pagamento o gli aggiornamenti automatici.
In assenza di tali credenziali, invece, il trucco non funziona. La notizia è dunque di scarsa portata, se non fosse per il fatto che evidenzia una debolezza di un sistema operativo un tempo considerato invincibile. E se non fosse che giunge in un momento particolarmente critico per i vendor tecnologici (Intel soprattutto), sottoposti allo stress di dover giustificare e riparare le falle battezzate Meltdown e Spectre.
Va anche detto che nella beta di macOS High Sierra 10.13.3 il problema non si presenta, e dunque basterà aspettare il prossimo aggiornamento del sistema operativo per mettersi al riparo dall'eventuale rischio. Per non sbagliare, si può tuttavia agire fin da subito controllando di aver previsto una password di blocco e sblocco delle modifiche dell'App Store (da “Preferenze di sistema”, selezionare la voce “App Store” e cliccare sull'icona del lucchetto, poi inserire una parola chiave e terminare cliccando su “sblocca”).