Potężna wpadka - każdy może zmienić ustawienia twojego Maca [AKTUALIZACJA]

Kilka słów wstępu: w systemach uniksopochodnych (a do nich należy i macOS), użytkownik nie powinien interaktywnie logować się na konto roota - administratora o najwyższych uprawnieniach. Oznacza to, że nie powinien on mieć możliwości zalogowania do konsoli, lub uruchomienia środowiska graficznego. Jak w takim razie uruchomić polecenia wymagające jego uprawnień? Poprzez delegację uprawnień. W linii poleceń jest to polecenie sudo - dzięki niemu, mając odpowiednie uprawnienia (jesteśmy członkiem odpowiedniej grupy), możemy podając własne hasło wykonać polecenie jako root. Natomiast w środowisku graficznym jesteśmy pytani o potwierdzenie hasła i użytkownika.

W macOS dzieje się tak, gdy np. odblokowujemy ważne ustawienia: np. ustawienia sieci, szyfrowania plików, czy programów uruchamianych przy logowaniu. Jest to znana użytkownikom macOS "kłódka" - aby ją otworzyć musimy podać hasło.

Jest ona tak banalna, że aż dziw, iż nikt na nią nie wpadł wcześniej. Tym bardziej dziwne, że nie wykryli jej testerzy. Otóż wystarczy w miejscu na nazwę użytkownika wpisać root, zaś miejsce na hasło pozostawić puste. Tę czynność należy powtórzyć kilka razy: za którymś razem kłódka zostaje odblokowana.

Jako pierwszy podał informację na ten temat na Twitterze programista z Turcji Lemi Orhan Levin:

Sprawdziliśmy to na dwóch redakcyjnych komputerach, zaktualizowanych do najnowszej wersji macOS High Sierra 10.13.1. Faktycznie: zadziałało i odblokował on ustawienia.

Przede wszystkim każdy, kto uzyska fizyczny dostęp do naszego odblokowanego komputera, będzie w stanie zmienić jego ustawienia. Może sobie udostępnić katalog z naszymi dokumentami w sieci, lub założyć nowe konto użytkownika. Założę się, że szybko byśmy tego nie zauważyli.

Potwierdziliśmy za to, że zalogowanie w ten sposób nie działa w żaden sposób w oknie terminala - w każdym razie nam się nie udało tego zrobić.

Na szczęście, dopóki Apple nie wypuści odpowiedniej "łatki" zabezpieczającej system, możemy w łatwy sposób zabezpieczyć nasz komputer przed atakiem tego typu. Wystarczy ustawić ręcznie hasło użytkownikowi root. Oto jak to zrobić.

I tyle wystarczy, aby wyłączyć tego typu atak - co również z powodzeniem zweryfikowaliśmy na komputerze z High Sierra w wersji 10.13.1. Natomiast na komputerze z wersją beta (10.13.2) systemu, problemu nie udało się w ogóle zreprodukować, co pozwala sądzić, że przy najbliższej aktualizacji macOS High Sierra problem zostanie wyeliminowany.

Radzimy jednak zapobiegawczo ustawić to hasło każdemu posiadaczowi Maca macOS Sierra na pokładzie - jego ustawienie nie ma konsekwencji w codziennym użytkowaniu komputera, a jak widać, może zabezpieczyć przed sporym zagrożeniem.

Przedstawiciel Apple udzielił oficjalnego komentarza serwisowi BuzzFeed. Redaktor serwisu, John Paczkowski, zamieścił treść oświadczenia na swoim Twitterze:

W dużym skrócie - Apple radzi to samo, co my w powyższym tekście: do czasu załatania luki koniecznie ustawcie hasło użytkownika root.

W środę wieczorem pojawiła się w Mac App Store Aktualizacja zabezpieczeń 2017-001. Apple zachęca do jej szybkiej instalacji.