^

Konto root bez hasła. Dziura w High Sierra, jak się zabezpieczyć?

Jaromir Kopp

29 listopada 2017

Konto root bez hasła. Odkryto dziurę w macOS 10.13 High Sierra pozwalającą na zalogowanie się na konto użytkownika root bez hasła. Jak sprawdzić, czy jesteśmy zagrożeni i jak się zabezpieczyć.
UWAGA! Oficjalna aktualizacja bezpieczeństwa jest już dostępna! Szczegóły znajdziecie tu: APPLE ZAŁATAŁ POWAŻNY BŁĄD W HIGH SIERRA

Konto root bez hasła w High Sierra, co nam grozi?

Niestety kontrola jakości w Apple ostatnio szwankuje bardziej niż zwykle. Wpadka z aktywnym kontem roota, które nie posiada hasła, jest wyjątkowo paskudnym tego przykładem.
Root to użytkownik systemowy mający najwyższe przywileje. Może wszystko włącznie ze skasowaniem i modyfikacją plików systemowych, kont użytkowników, preferencji… jest jak wszechmogący użytkownik.
Jako root można się zalogować, mając bezpośrednio dostęp do komputera. Po prostu, gdy komputer pyta o użytkownika i hasło wpisujemy „root”, miejsce na hasło pozostawiamy puste i wciskamy enter lub return. W ten sposób można sprawdzić, czy nasz komputer i jego system ma ten problem. Najlepiej zrobić to klikając w Preferencjach systemowych w panelu Ochrona i prywatność, kłódkę.
Uwaga! Jeżeli mamy włączone zdalne logowanie za pomocą VNC lub Współdzielenia ekranu, lukę można wykorzystać do przejścia kontroli nad naszym komputerem, zdalnie.
Root w High SIerra
Bezpieczni są tylko ci, którzy jak ja, już kiedyś włączyli konto użytkownika root i nadali mu hasło.
Standardowo w macOS konto roota jest wyłączone i nie można się na nie logować w żaden sposób. Niestety w High Sierra coś poszło nie tak i konto jest aktywne w dodatku bez hasła!

Jak się zabezpieczyć?

Jeżeli sprawdziliśmy, że konto roota w naszym komputerze jest aktywne i bez hasła [narastający odgłos werbli zakończony uderzeniem w gong — zgroza] to:
Uruchamiamy Narzędzie katalogowe, wpisując w Spotlight (to ta lupka w prawym górnym rogu ekranu, można też użyć skrótu Cmd-spacja) „Directory Utility” lub „Narzędzie katalogowe”.
1. Root w High SIerra
Klikamy kłódkę w lewym dolnym rogu i podajemy nazwę i hasło do konta administratora (to zazwyczaj „nasze normalne”).
2. Root w High SIerra
Z menu Edycja wybieramy „Zmień hasło root…” (jeżeli jest aktywne) lub „Włącz użytkownika root”.
3. Root w High SIerra
Nadajemy silne hasło i nie zapominamy go na wszelki wypadek.
4. Root w High SIerra
Od tego momentu, nawet na podatnych systemach logowanie się na konto roota wymaga uwierzytelnienia za pomocą naszego Nowego Silnego Hasła.
Wcześniejsze systemy przed macOS 10.13.x High Sierra nie mają problemu z kontem root nieposiadającym hasła, ale zawsze możecie to sprawdzić sami wyżej podaną metodą.
Można się spodziewać nagłej aktualizacji macOS 10.13 na dniach. Luka jest bardzo poważna.

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.
Komentarze (10)
L

10 komentarzy

  1. gamex

    Sluchajcie, mówimy o wirusach, fragmentacjach na innych systemach, chwaląc się przy okazji jak to Apple dba o nasze bezpieczeństwo, szyfruje dane, wprowadza nowe technologie identyfikacji, a następnie dostajemy w twarz wiadomościami, że albo system podpowiada hasło jak je nie znamy, albo uruchamia roota i pozwala się na niego zalogować. Naprawdę!? Przecież nie ma większej kompromitacji we współczesnym świecie it. Współcześnie system od Apple jest najbardziej niebezpiecznym OSem! Wygląda to jak zabawa studentów którym nikt kodu nie sprawdza, w którym liczą się emotki i tapety. To straszne.
    Jeżeli jest jakiś użytkownik który myślał o zmianie platformy to niech nawet nie myśli o Apple. Wpadki na najwyższych poziomach bezpieczeństwa…

    Odpowiedz
    • Jaromir Kopp „MacWyznawca”

      Nie siej paniki… po pierwsze to tylko jedna jego wersja i pierwszy raz. Po kolejne i tak 70% użytkowników nie ustawiało żadnego hasła dla konta admina (swojego).
      Błąd jest poważny, ale nie popadajmy w histerią. inne firmy takie błędy mają z raz w miesiącu.

      Odpowiedz
      • gamex

        Problem został zgłoszony do Apple 9 dni temu – spieszą się bardzo jak widać. Jakie to firmy mają takie problemy co miesiąc? Możesz deprecjonować problem, tylko ja tego nie kupuję.

        Odpowiedz
    • Jaromir Kopp „MacWyznawca”

      A tak przy okazji… to nie włączałeś zam konta roota? Dla mnie to podstawa! Jak raz włączysz to masz j¨ż po każdej aktualizacji. A włączając samodzielnie zawsze wymusza hasło. Mnie ta dziura nie dotknęła… trzeba myśleć czasem nawet za Apple!
      Roota włączam od 10 lat zawsze

      Odpowiedz
      • gamex

        A system wymusza podczas instalacji hasło do roota, czy tylko pyta o admina? Jak ma zwykły użytkownik wiedzieć o tym co piszesz? Odpowiedzi znasz… Zwykłego śmiertelnika nie obchodzi jakieś schowane konto root. Ma swoje hasło, do swojego profilu. To nie są czasy win98 żebyśmy myśleli za producenta systemu. Tutaj nie ma usprawiedliwienia.

        Odpowiedz
        • Jaromir Kopp „MacWyznawca”

          Dlatego jest ta instrukcja. Zwykły użytkownik często sam olewa hasło admina (nie mulić z rootem), ale za to zazwyczaj nie włącza dostępu zdalnego.
          Czyli trzeba mieć dostęp do komputera.
          Zwykły użytkownik też nie zabezpiecza komputera hasłem sprzętowym i szyfrowaniem, więc jak już masz się dostęp do kompa, to i bez roota można wiele z nim zdziałać.

          Odpowiedz
          • gamex

            Tą, i inne instrukcje, przeczyta jakiś tam procent użytkowników(oby jak najwięcej). Reszta jest narażona w sposób niewyobrażalny!
            Co ciekawe w ten sam sposób można zalogować się do konta root bezpośrednio z ekranu logowania oraz zdalnie przy pomocy VNC/Apple Remote Desktop

            Odpowiedz
  2. sportpoz

    Czy problem ten występuje też w becie 10.13.2?

    Odpowiedz

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany.