Poważna wpadka Apple. Każdy może zalogować się do twojego Maka jako admin. Bez hasła

Daniel Maikowski
Jeśli jesteś użytkownikiem komputera Apple z najnowszą wersją systemu MacOS, to mamy złą wiadomość. Każdy może uzyskać dostęp do twoich plików i zmienić ustawienia komputera. Bez potrzeby wpisywania hasła.

O bardzo poważnej luce w systemie macOS High Sierra (10.13.1) jako pierwszy poinformował jeden z użytkowników Twittera, programista Lemi Orhan Ergin

Okazuje się, że dowolna osoba posiadająca fizyczny lub zdalny dostęp do komputera z nową dystrybucją MacOS może w prosty sposób uzyskać uprawnienia administratora.

Jest to możliwe zarówno z poziomu ustawień systemu (gdy jesteśmy zalogowani jako użytkownik lokalny), jak również z poziomu panelu logowania do MacOS High Sierra.

Uzyskiwanie uprawnień administratoraUzyskiwanie uprawnień administratora fot. DM

W pierwszym przypadku wystarczy wejść w "Preferencje systemowe", wybrać pozycję "Użytkownicy i grupy", a następnie kliknąć w charakterystyczną ikonkę kłódki. Później w polu logowania należy wpisać "root", a miejsce na hasło pozostawić puste. Na końcu wciskamy klawisz "Enter". I gotowe. Jesteśmy administratorami systemu. Możemy więc zmieniać ustawienia zaawansowane, włączyć i wyłączyć szyfrowanie plików, utworzyć nowe konto użytkownika, uzyskać dostęp do folderów i plików wszystkich użytkowników lokalnych jak również dokonać innych zmian, które wymagają uprawnień admina.

Luka w systemie MacOS High SierraLuka w systemie MacOS High Sierra fot. DM

W drugim przypadku sytuacja wygląda podobnie. W panelu logowania do MacOS znów jako login wpisujemy "root", a hasło pomijamy. Kilka chwil później jesteśmy "w domu".

Jak zabezpieczyć się przed luką?

Apple poinformował już, że pracuje nad załataniem poważnej dziury w swoim systemie. Stosowana aktualizacja powinna pojawić się w AppStore w ciągu kilkudziesięciu godzin.

Warto jednak już wcześniej zabezpieczyć system na wypadek, gdyby ktoś niepowołany chciał wykorzystać tę lukę. W tym celu musimy zabezpieczyć konto "root" hasłem. Aby to zrobić należy wywołać aplikację Terminal, wpisać komendę sudo passwd -u root, a następnie wymyślić hasło. To skutecznie uchroni nas przed ewentualnym atakiem.

Apple ma już 40 lat, ale nie zawsze odnosił sukcesy. Wszystko to przez Steve'a Jobsa...

Więcej o: