macOS High Sierra: Fehler kann Root ohne Passwort erlauben
von caschy | 28 Kommentare
Das ist ein doch schwerer Fehler, der gerade das macOS-System High Sierra betrifft. Normalerweise muss man sich, wenn man bestimmte Dinge im System ändern will, mit einem Admin-Account authentifizieren. Nutzername und Passwort eben. Das große Problem? Apple lässt den Zugriff auch ohne Passwort, einfach über den Systemnutzer und -administrator „root“ zu. Ihr wollt das nachvollziehen? Geht einmal in die Systemeinstellungen und versucht im Bereich Benutzer etwas zu ändern. Der Admin-Account muss sich autorisieren. Nutzt man aber den Anwender root ohne Passwort – und probiert ein paar Mal, dann ist man drin. Bei mir ging es so: Nicht auf „Schutz aufheben“ klicken, sondern einfach mit Return bestätigen.
Was das für euch bedeutet? Dass ihr euren Mac mit High Sierra nicht aus den Augen lassen solltet. Wichtig: Das Ausprobieren kann einen Nutzer root ohne Passwort erstellen, stellt also sicher, dass ihr den Root-Nutzer in den Einstellungen mit einem Passwort ausstattet.
Apple beschreibt das Deaktivieren auch auf einer dedizierten Seite:
Den root-Benutzer aktivieren oder deaktivieren
- Wählen Sie das Menü „Apple“ (?) > „Systemeinstellungen“, und klicken Sie anschließend auf „Benutzer & Gruppen“ (oder „Accounts“).
- Klicken Sie auf das
, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein. - Klicken Sie auf „Anmeldeoptionen“.
- Klicken Sie auf „Verbinden“ (oder „Bearbeiten“).
- Klicken Sie auf „Verzeichnisdienste öffnen“.
- Klicken Sie im Fenster „Verzeichnisdienste“ auf das , und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
- Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:
- Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“, und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
- Oder wählen Sie „Bearbeiten“ > „root-Benutzer deaktivieren“.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Wird geladen ...
Gerade auch dies hier gefunden: https://twitter.com/unsynchronized/status/935656609140711426
Warum auch immer wurde hier mein Link zu einem Twitter-Post gelöscht. Darin wird berichtet: „macos 10.13 bug isn’t limited to root in all circumstances; via ARD, you can log in as any existing user (e.g. _applepay) and share the screen of the logged-in user. also _uucp is allowed to log in“
Da kann ich eigentlich den ganzen Passwortschutz am Mac komplett ausschalten. Ist wahrscheinlich auch nicht wirklich unsicherer.
Dafür aber viel viel bequemer.
Wobei, mach ich die sicherheitsrelevanten Sachen doch wieder an meinen Windows Rechner.
Der ist sicherer, aktualisiert sich schön im Hintergrund ohne dass ich was bemerke und man hat keine Probleme damit.
Vor allen Dingen wenn man nicht ein billig Gerät gekauft hat sondern was von einem ordentlichen Hersteller.
Ist noch immer billiger als bei Apple.
War natürlich das 5k Display iMac einfach klasse ist.
Wenn ich bedenke dass ich den Mac gekauft habe um mehr Sicherheit zu haben.
Jetzt mittlerweile ist es genau andersrum. Bei Windows funktioniert die Sicherheitsupdates laufen im Hintergrund ohne Probleme und das ich Zeit investieren muss.
Bei Mac jede Betriebssystem Update Probleme mit nicht funktionierende Software. Probleme mit dies, Probleme mit das Sicherheit gleich null.
Die ganze Zeit irgendwelche Updates die nicht richtig funktionieren und die richtig Zeit kosten.
@Frank: Ich sehe durchaus, dass das ein Problem ist, denke aber nicht, dass man gleich Panik schieben muss. Wie gesagt ist der direkte Zugriff auf das Gerät nötig, ggf. reicht es auch, wie @Caschy eingewendet hat, wenn man den VNC-zugriff gewährt hat. Aber auch das räumt man doch im Grunde sowieso nur vertrauenswürdigen Personen ein. Klar, wer es drauf anlegt, kann das auch ausnutzen, aber ich denke auch, dass so eine Berichterstattung viele erst darauf bringt, das auch zu machen, sonst würden die meisten gar nicht erst mitbekommen, dass so eine Lücke existiert.
Das ist wirklich Amateur Hour von Apple.
Passwort für root vergeben geht auch ganz einfach, ohne sich durch die Menus zu hangeln:
sudo passwd -u rootDann zwei mal das Passwort eintippen und am besten in den Passwortmanager der Wahl hinterlegen. Im Terminal erfolgt die Passworteingabe „blind“, man sieht nichts, nicht mal Platzhalter wie *****.
Also mal ganz ehrlich, hat in diesem Punkt Apple versagt – 100% ! Einfach nur peinlich, die haben den Fehler verpennt zu beheben. Aber ist es die ganze Aufregung wert ? Nö ! Es vergeht kein Tag wo keine kritische Sicherheitslücke in Windows, Android oder sonst was auftaucht. Zugegeben nicht so ein peinlicher 😉 Eine Meldung ist es wert, aber dieses ganze künstliche aufgeblase von Hatern nervt.
So eine kritische Lücke musst du in Windows erst mal finden…
Hier treffen sich keine Hater auf sondern Betroffene die es eben nicht lustig finden das ihr Passwortschutz nichts wert ist…
Das ist einfachste Sicherheit… Ich kann jetzt den Mac nicht alleine lassen weil jeder jetzt mal schnell Root werden kann…
Wäre vergleichbar mit einem Auto Hersteller bei dem das Schliesssystem nach mehrmals an der Tür rütteln einfach aufmacht! Und zwar bei allen Modellen und fast egal wie alt…
Da darf man sich schon aufregen. Vor allem wenn der Hersteller das System mit seiner Sicherheit bewirbt! Und eben diese auch von vielen Kaufgrund war!