Säkerhet: macOS High Sierra bugg låter dig logga in som “root” … utan lösenord

0 Shares

Om du trodde att du behövde ett lösenord för att komma åt en lösenordsskyddad Mac, tänk igen. Ett massivt säkerhetshål har upptäckts i macOS High Sierra som gör det möjligt att logga in med administratörsrättigheter utan att behöva ange ett lösenord.

Problemet verkar vara specifikt för High Sierra, och hur lätt det är att få obegränsad tillgång till ett system berör många människor – förståeligt nog.

Att logga in med administratörsrättigheter kräver lite mer än att ange rot som användarnamn och lämnar lösenordsfältet tomt. Det är verkligen så enkelt. Även om det finns uppenbara bekymmer om sårbarheten som gör det möjligt för människor att komma åt en Mac, är människor också oroliga över konsekvenserna för skadliga attacker.

På Twitter verkar det som om Apple var ganska snabbt att svara efter programvaruingenjören Lemi Orhan Ergin väckte frågan om företagets uppmärksamhet:

Efter 12 timmar bjöd företaget honom att komma i kontakt så att de kunde prata mer om problemet:

Men det visar sig att problemet togs upp i Apples utvecklarforum för två veckor sedan. Användaren chethan177 förklarade:

Om du inte kan logga in vid start med användarnamn: root och tomt lösenord, logga sedan in med ditt befintliga konto (standardanvändare).

Återigen, gå över till Systeminställningar> Användare och grupper. Klicka på låsikonen. När du uppmanas att ange användarnamn och lösenord skriver du användarnamn: root och lämnar lösenordet tomt. Tryck enter. Detta kan orsaka ett fel, men försök omedelbart igen med samma användarnamn: root och tomt lösenord. Detta bör låsa upp låsikonen.

Apple säger nu att de arbetar med en fix för vad som är en allvarlig säkerhetsfråga. Företaget utfärdade ett uttalande som säger:

Vi arbetar med en programuppdatering för att lösa problemet. Under tiden förhindrar obehörig åtkomst till din Mac genom att ställa in ett root-lösenord. Följ instruktionerna här för att aktivera rotanvändaren och ställa in ett lösenord. Om en rotanvändare redan är aktiverad, följ instruktionerna i avsnittet “Ändra rotlösenordet” för att säkerställa att ett tomt lösenord inte är inställt.

0 Shares