Apple
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Eine gefährliche Schwachstelle macht Mac-Computer angreifbar. screenshot: twitter / watson

Massive Sicherheitslücke betrifft Mac-Computer – Login ohne Passwort möglich 😱

Angreifer können sich problemlos Zugriff auf Apple-Rechner mit dem aktuellen Betriebssystem macOS High Sierra verschaffen. Eine verstörende Entdeckung ...



Apples neuste Mac-Systemsoftware (macOS High Sierra) weist eine gravierende Sicherheitslücke auf. Bei Twitter tobt deswegen gerade ein Shitstorm in Orkanstärke. Auch der NSA-Whistleblower Edward Snowden hat sich zu Wort gemeldet:

«Stell dir eine verschlossene Tür vor, aber wenn du einfach weiter den Griff probierst, heisst es ‹oh gut› und man lässt dich ohne Schlüssel rein.»

Dieser Tweet löste das Entsetzen aus:

watson konnte die Schwachstelle auf einem Macbook Pro ausprobieren und sich beim Anmeldefenster ohne Passwort als Benutzer mit Superrechten (sogenannter «Root») einloggen.

Das Video zeigt, wie nach mehrmaligem Versuchen das Login klappt ...

abspielen

Video: YouTube/Carsten Knobloch

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen.

Mittlerweile kursieren Anweisungen, wie Mac-Besitzer ihren Computer vor unerwünschtem Zugriff schützen können. 

Wer das Root-Passwort nicht ändern kann, sollte den Mac auf jeden Fall nicht unbeaufsichtigt herumstehen lassen.

Angriffe sollen auch über das Internet möglich sein, sofern die entfernte Anmeldung (Apple Remote Desktop) aktiviert ist.

Die Apple-Ingenieure arbeiten bereits fieberhaft an einem Sicherheits-Update. Um sich zu schützen und das Root-Passwort festzulegen, wird auf diese Support-Seite verwiesen.

Ursache unklar

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen. Über den Zugriff kann man System-Einstellungen verändern – so könnte über ihn zum Beispiel eine schützende Firewall deaktiviert werden.

Ein Fehler dieser Art ist ein blaues Auge für Apple, denn der Konzern wirbt mit einem besonderen Augenmerk auf Datenschutz und Sicherheit auf seinen Geräten. Zunächst blieb unklar, wie es zu der Sicherheitslücke kommen konnte.

Mit Material der SDA

Das könnte dich auch interessieren:

So manipulieren Karten unser Kaufverhalten

abspielen

Video: srf

Die bösartigsten Computer-Attacken aller Zeiten

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

Link zum Artikel

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

Link zum Artikel

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

präsentiert vonMarkenlogo
Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

CVP fährt grosse Negativ-Kampagne gegen andere Parteien – die Reaktionen sind heftig

Link zum Artikel

Wo du in dieser Saison Champions League und Europa League sehen kannst

Link zum Artikel

Migros Aare baut rund 300 Arbeitsplätze ab

Link zum Artikel

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Link zum Artikel

YB droht Bickel mit Gericht, nachdem er als Sportchef 40 Mio. verlochte

Link zum Artikel

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

29
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
29Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • fcsg 29.11.2017 17:39
    Highlight Highlight Inzwischen wurde der Bug durch ein Update behoben.
  • Alnothur 29.11.2017 13:21
    Highlight Highlight Dass dieser Bug überhaupt existieren kann, zeugt von grässlich unverantwortlicher Architektur im Sicherheits-Unterbau... Ein Unix so zu vermurksen, das schafft auch nur Apple.
  • martinsteiger 29.11.2017 10:44
    Highlight Highlight Einige Anmerkungen:

    1. Das «Bug Bounty Program» von Apple ist auf ausgewählte Personen beschränkt. Andere Personen, die Fehler melden, werden bestenfalls erwähnt, erhalten aber normalerweise kein Geld.

    2. Das Problem betrifft nicht allein «root», sondern auch andere Systemkonten.

    3. Der Bug wird in Apple-Foren schon seit einiger Zeit als Workaround für einen anderen MacOS High Sierra-Bug empfohlen (bei einigen Nutzern funktionierten mit High Sierra die Administratoren-Nutzerkonten nicht mehr).
  • Charlie B. 29.11.2017 09:25
    Highlight Highlight Alles halb so schlimm. Funktioniert das auch bei einer Neuanmeldung oder beim Entsperren es Mac? Ich vermute nicht. So wie es ausschaut bekommst du einfach erweiterte Rechte in den Systemeinstellungen. Was du sowieso bekommst wenn dein Account in der Administratoren Gruppe ist. Interessant wäre zu wissen ob ein nicht-Administrator Account auf dem Mac sich als root anmelden kann.
    • p4trick 29.11.2017 10:59
      Highlight Highlight halb so schlimm? Mit root kann sich einer einloggen auch wenn der Mac "gesperrt" ist, dann kann ich mit root dein Passwort ändern, alle deine Daten kopieren, deine Cookies klauen, deine gesamte Online Idendität übernehmen...
      aber ja alles halb so schlimm :-)
  • Pafeld 29.11.2017 09:01
    Highlight Highlight So langsam kann man für die postmortem-Steve-Jobs-Apple-Fails ne eigene Rubrik bei Watson einrichten.
  • Midnight 29.11.2017 08:14
    Highlight Highlight FileVault aktivieren und gut ist. Bei allen Macs, die die Festplattenverschlüsselung (oder das Firmware-Passwort) nicht aktiviert haben, konnte man schon immer über den Single User Mode oder über Recovery das Passwort eines beliebigen Users zurücksetzen. Das EFI-Passwort wird in diesem Fall zwar nichts bringen, FileVault mit aktivierter, automatischer Bildschirmsperre aber schon. Just saying...
    • p4trick 29.11.2017 11:02
      Highlight Highlight Auch wenn FileVault aktiviert ist und dein Mac gesperrt ist, mache ich einen "switch user" und log mich als root ein. Dann ändere ich dein Filevault passwort etc..
      So weit ich weiss ist user wechseln per Default aktiv?
  • Madison Pierce 29.11.2017 08:13
    Highlight Highlight "Ist ja nicht so schlimm, das kann man nur lokal ausnutzen. Hat ja niemand VNC aus dem Internet offen."

    Doch, haben die Leute: https://www.shodan.io/search?query=%22RFB+003.889%22+product%3A%22Apple+remote+desktop+vnc%22&language=en#_=_
    • Midnight 29.11.2017 08:52
      Highlight Highlight Selber schuld, sorry... Für Fernzugriff aus dem Internet gibt es VPN. Alles andere ist unverantwortlich. Allerdings wird man sich nicht per Remote in eine VPN-Session einklinken können. Insofern nicht wirklich relevant. Ausser wenn man die Zugangsdaten fürs Remote schon hat.
    • p4trick 29.11.2017 11:03
      Highlight Highlight Aber alle wollen "Cloud zuhause" und reissen alle Ports ihrer Firewall auf :-)
      Dass es anders geht mit dem Fernzugriff hat nichts damit zu tun dass viele Googlen um es "einfacher" zu machen...
  • Damogles 29.11.2017 08:07
    Highlight Highlight also nach 20 Login-Versuchen hat das bei meinem iMac mit root und meinem Account *nicht* funktioniert und ja, ich habe auf high Sierra aktualisiert.
  • Supermonkey 29.11.2017 07:54
    Highlight Highlight Shit... Das Video zeigt gar keinen Root-Login. Es zeigt eine Anmeldung WÄHREND bereits der User eingeloggt ist... Also Come On!
    • @schurt3r 29.11.2017 08:19
      Highlight Highlight Es war spät gestern Abend, ja. Aber das Root-Login hat (ohne Passwort) funktioniert auf einem Macbook Pro mit High Sierra.
      Hatte mich von meinem normalen Account abgemeldet, dann beim Anmeldefenster auf «Andere» geklickt und mit «root» angemeldet.
      Benutzer Bild
    • Statler 29.11.2017 09:51
      Highlight Highlight ??? Auf dem Login-Screen kann man nur die eingerichteten Accounts auswählen - «andere» hab' ich da noch nie gesehen???
    • @schurt3r 29.11.2017 11:45
      Highlight Highlight @Statler:

      Sieht in etwa so aus...
      Benutzer Bild
    Weitere Antworten anzeigen
  • x4253 29.11.2017 06:59
    Highlight Highlight Windows 98, bist dus?
    Benutzer Bildabspielen
    • p4trick 29.11.2017 11:07
      Highlight Highlight Zugegeben ist die Windows 98 Lücke aber einiges schwieriger als die aktuelle Mac Lücke :-)
  • walsi 29.11.2017 06:33
    Highlight Highlight Wenn ich das richtig verstanden habe, ist beim Mac nicht vorgesehen, dass man sich als root einloggt und deshalb auch kein Passwort gesetzt. Das System lässt root aber trotzdem nicht einloggen. Es sei denn, wie im Artikel beschrieben, man probiert es einige Male. Als Lösung wird nun vorgeschlagen, root ein Passwort zu geben. Hallo!!!! root muss immer ein sicheres Passwort haben, der kann alles ändern am System. Dass root von Anfang an kein Passwort hat, ist ein grober Fehler.
    • Madison Pierce 29.11.2017 07:44
      Highlight Highlight Wenn der root-Account standardmässig gesperrt ist, braucht er tatsächlich kein Passwort. Man kann sich dann nicht damit einloggen, aber mit "sudo su" eine root-Shell öffnen mit dem Benutzerpasswort.

      Dachte zuerst, bei einem Update sei die Sperre bei root irrtümlich entfernt worden. Aber das erklärt nicht, weshalb es erst nach einigen Versuchen funktioniert.
  • CASSIO 29.11.2017 05:57
    Highlight Highlight als ob die schwachstelle unbeabsichtigt wäre... wer hier glaubt sonst noch an den storch?
  • Mia_san_mia 29.11.2017 04:30
    Highlight Highlight Apple, wir müssen reden 😂
  • pedrinho 29.11.2017 02:50
    Highlight Highlight "Es ist davon auszugehen, dass die Apple-Ingenieure bereits fieberhaft an einem Sicherheits-Update arbeiten..."

    kommt davon, wenn man zu viel ueber die anderen lacht
  • Papa la Papp 29.11.2017 00:43
    Highlight Highlight Wie genau soll das gehen?
    Beim Login sieht man ja nur eingerichtete Benutzer und nix von root?
    Watson hat getestet?
    Schurter?
    • Midnight 29.11.2017 08:19
      Highlight Highlight Man kann im Loginfenster "Andere" oder den Login aktivieren, bei dem man Benutzername und Passwort eingeben muss. In beiden Fällen kann man dann "root" als Benutzername eingeben. Standardmässig sind aber beide Optionen deaktiviert und können nur mit einem Benutzer mit Admin-Rechten aktiviert werden.
    • p4trick 29.11.2017 11:09
      Highlight Highlight Finde es immer wieder lustig wie Laien öffentlich bekannt gegebene Security Leaks hinterfragen :-)
  • Ueli77 29.11.2017 00:39
    Highlight Highlight Wow, Watson ist mal schneller als heise...

Neue Malware-Welle erreicht die Schweiz – so wollen dich die Hacker übers Ohr hauen

Der Bund warnt: Kriminelle versenden aktuell gefälschte E-Mails im Namen der Post, die Computer-Nutzer mit dem E-Banking-Trojaner Retefe infizieren.

Der Bund warnt Schweizer Computer-Nutzer vor gefälschten E-Mails, die im Namen der Post verschickt werden. Das so genannte Computer Emergency Response Team des Bundes schreibt auf Twitter: «Vorsicht: Betrüger versenden gerade gefälschte E-Mails im Namen von @postschweiz mit dem Ziel, Computer von Bürgerinnen und Bürgern mit dem E-Banking Trojaner Retefe zu infizieren! Melden Sie verdächtige E-Mails an reports@antiphishing.ch oder auf antiphishing.ch»

Retefe ist ein bekannter Trojaner, der …

Artikel lesen
Link zum Artikel