Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Image

Eine gefährliche Schwachstelle macht Mac-Computer angreifbar. screenshot: twitter / watson

Massive Sicherheitslücke betrifft Mac-Computer – Login ohne Passwort möglich 😱

Angreifer können sich problemlos Zugriff auf Apple-Rechner mit dem aktuellen Betriebssystem macOS High Sierra verschaffen. Eine verstörende Entdeckung ...



Apples neuste Mac-Systemsoftware (macOS High Sierra) weist eine gravierende Sicherheitslücke auf. Bei Twitter tobt deswegen gerade ein Shitstorm in Orkanstärke. Auch der NSA-Whistleblower Edward Snowden hat sich zu Wort gemeldet:

«Stell dir eine verschlossene Tür vor, aber wenn du einfach weiter den Griff probierst, heisst es ‹oh gut› und man lässt dich ohne Schlüssel rein.»

Dieser Tweet löste das Entsetzen aus:

watson konnte die Schwachstelle auf einem Macbook Pro ausprobieren und sich beim Anmeldefenster ohne Passwort als Benutzer mit Superrechten (sogenannter «Root») einloggen.

Das Video zeigt, wie nach mehrmaligem Versuchen das Login klappt ...

Play Icon

Video: YouTube/Carsten Knobloch

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen.

Mittlerweile kursieren Anweisungen, wie Mac-Besitzer ihren Computer vor unerwünschtem Zugriff schützen können. 

Wer das Root-Passwort nicht ändern kann, sollte den Mac auf jeden Fall nicht unbeaufsichtigt herumstehen lassen.

Angriffe sollen auch über das Internet möglich sein, sofern die entfernte Anmeldung (Apple Remote Desktop) aktiviert ist.

Die Apple-Ingenieure arbeiten bereits fieberhaft an einem Sicherheits-Update. Um sich zu schützen und das Root-Passwort festzulegen, wird auf diese Support-Seite verwiesen.

Ursache unklar

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen. Über den Zugriff kann man System-Einstellungen verändern – so könnte über ihn zum Beispiel eine schützende Firewall deaktiviert werden.

Ein Fehler dieser Art ist ein blaues Auge für Apple, denn der Konzern wirbt mit einem besonderen Augenmerk auf Datenschutz und Sicherheit auf seinen Geräten. Zunächst blieb unklar, wie es zu der Sicherheitslücke kommen konnte.

Mit Material der SDA

Das könnte dich auch interessieren:

So manipulieren Karten unser Kaufverhalten

Play Icon

Video: srf

Die bösartigsten Computer-Attacken aller Zeiten

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

Link to Article

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

Link to Article

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

Link to Article

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

Link to Article

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

Link to Article

10 Massnahmen, um der digitalen Verfolgung zu entgehen

Link to Article

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Link to Article
Alle Artikel anzeigen

Abonniere unseren Newsletter

30
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
30Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • fcsg 29.11.2017 17:39
    Highlight Highlight Inzwischen wurde der Bug durch ein Update behoben.
  • Alnothur 29.11.2017 13:21
    Highlight Highlight Dass dieser Bug überhaupt existieren kann, zeugt von grässlich unverantwortlicher Architektur im Sicherheits-Unterbau... Ein Unix so zu vermurksen, das schafft auch nur Apple.
  • martinsteiger 29.11.2017 10:44
    Highlight Highlight Einige Anmerkungen:

    1. Das «Bug Bounty Program» von Apple ist auf ausgewählte Personen beschränkt. Andere Personen, die Fehler melden, werden bestenfalls erwähnt, erhalten aber normalerweise kein Geld.

    2. Das Problem betrifft nicht allein «root», sondern auch andere Systemkonten.

    3. Der Bug wird in Apple-Foren schon seit einiger Zeit als Workaround für einen anderen MacOS High Sierra-Bug empfohlen (bei einigen Nutzern funktionierten mit High Sierra die Administratoren-Nutzerkonten nicht mehr).
  • Charlie B. 29.11.2017 09:25
    Highlight Highlight Alles halb so schlimm. Funktioniert das auch bei einer Neuanmeldung oder beim Entsperren es Mac? Ich vermute nicht. So wie es ausschaut bekommst du einfach erweiterte Rechte in den Systemeinstellungen. Was du sowieso bekommst wenn dein Account in der Administratoren Gruppe ist. Interessant wäre zu wissen ob ein nicht-Administrator Account auf dem Mac sich als root anmelden kann.
    • p4trick 29.11.2017 10:59
      Highlight Highlight halb so schlimm? Mit root kann sich einer einloggen auch wenn der Mac "gesperrt" ist, dann kann ich mit root dein Passwort ändern, alle deine Daten kopieren, deine Cookies klauen, deine gesamte Online Idendität übernehmen...
      aber ja alles halb so schlimm :-)
  • Pafeld 29.11.2017 09:01
    Highlight Highlight So langsam kann man für die postmortem-Steve-Jobs-Apple-Fails ne eigene Rubrik bei Watson einrichten.
  • Midnight 29.11.2017 08:14
    Highlight Highlight FileVault aktivieren und gut ist. Bei allen Macs, die die Festplattenverschlüsselung (oder das Firmware-Passwort) nicht aktiviert haben, konnte man schon immer über den Single User Mode oder über Recovery das Passwort eines beliebigen Users zurücksetzen. Das EFI-Passwort wird in diesem Fall zwar nichts bringen, FileVault mit aktivierter, automatischer Bildschirmsperre aber schon. Just saying...
    • p4trick 29.11.2017 11:02
      Highlight Highlight Auch wenn FileVault aktiviert ist und dein Mac gesperrt ist, mache ich einen "switch user" und log mich als root ein. Dann ändere ich dein Filevault passwort etc..
      So weit ich weiss ist user wechseln per Default aktiv?
  • Madison Pierce 29.11.2017 08:13
    Highlight Highlight "Ist ja nicht so schlimm, das kann man nur lokal ausnutzen. Hat ja niemand VNC aus dem Internet offen."

    Doch, haben die Leute: https://www.shodan.io/search?query=%22RFB+003.889%22+product%3A%22Apple+remote+desktop+vnc%22&language=en#_=_
    • Midnight 29.11.2017 08:52
      Highlight Highlight Selber schuld, sorry... Für Fernzugriff aus dem Internet gibt es VPN. Alles andere ist unverantwortlich. Allerdings wird man sich nicht per Remote in eine VPN-Session einklinken können. Insofern nicht wirklich relevant. Ausser wenn man die Zugangsdaten fürs Remote schon hat.
    • p4trick 29.11.2017 11:03
      Highlight Highlight Aber alle wollen "Cloud zuhause" und reissen alle Ports ihrer Firewall auf :-)
      Dass es anders geht mit dem Fernzugriff hat nichts damit zu tun dass viele Googlen um es "einfacher" zu machen...
  • Damogles 29.11.2017 08:07
    Highlight Highlight also nach 20 Login-Versuchen hat das bei meinem iMac mit root und meinem Account *nicht* funktioniert und ja, ich habe auf high Sierra aktualisiert.
  • Supermonkey 29.11.2017 07:54
    Highlight Highlight Shit... Das Video zeigt gar keinen Root-Login. Es zeigt eine Anmeldung WÄHREND bereits der User eingeloggt ist... Also Come On!
    • @schurt3r 29.11.2017 08:19
      Highlight Highlight Es war spät gestern Abend, ja. Aber das Root-Login hat (ohne Passwort) funktioniert auf einem Macbook Pro mit High Sierra.
      Hatte mich von meinem normalen Account abgemeldet, dann beim Anmeldefenster auf «Andere» geklickt und mit «root» angemeldet.
      User Image
    • Statler 29.11.2017 09:51
      Highlight Highlight ??? Auf dem Login-Screen kann man nur die eingerichteten Accounts auswählen - «andere» hab' ich da noch nie gesehen???
    • @schurt3r 29.11.2017 11:45
      Highlight Highlight @Statler:

      Sieht in etwa so aus...
      User Image
    Weitere Antworten anzeigen
  • x4253 29.11.2017 06:59
    Highlight Highlight Windows 98, bist dus?
    User ImagePlay Icon
    • p4trick 29.11.2017 11:07
      Highlight Highlight Zugegeben ist die Windows 98 Lücke aber einiges schwieriger als die aktuelle Mac Lücke :-)
  • Oly 29.11.2017 06:57
    Highlight Highlight Ist bloss ein neues Sicherheits-Feature. Einen entsprechenden Adapter gibt's für 179.50 im Store.
  • walsi 29.11.2017 06:33
    Highlight Highlight Wenn ich das richtig verstanden habe, ist beim Mac nicht vorgesehen, dass man sich als root einloggt und deshalb auch kein Passwort gesetzt. Das System lässt root aber trotzdem nicht einloggen. Es sei denn, wie im Artikel beschrieben, man probiert es einige Male. Als Lösung wird nun vorgeschlagen, root ein Passwort zu geben. Hallo!!!! root muss immer ein sicheres Passwort haben, der kann alles ändern am System. Dass root von Anfang an kein Passwort hat, ist ein grober Fehler.
    • Madison Pierce 29.11.2017 07:44
      Highlight Highlight Wenn der root-Account standardmässig gesperrt ist, braucht er tatsächlich kein Passwort. Man kann sich dann nicht damit einloggen, aber mit "sudo su" eine root-Shell öffnen mit dem Benutzerpasswort.

      Dachte zuerst, bei einem Update sei die Sperre bei root irrtümlich entfernt worden. Aber das erklärt nicht, weshalb es erst nach einigen Versuchen funktioniert.
  • CASSIO 29.11.2017 05:57
    Highlight Highlight als ob die schwachstelle unbeabsichtigt wäre... wer hier glaubt sonst noch an den storch?
  • Mia_san_mia 29.11.2017 04:30
    Highlight Highlight Apple, wir müssen reden 😂
  • pedrinho 29.11.2017 02:50
    Highlight Highlight "Es ist davon auszugehen, dass die Apple-Ingenieure bereits fieberhaft an einem Sicherheits-Update arbeiten..."

    kommt davon, wenn man zu viel ueber die anderen lacht
  • Papa la Papp 29.11.2017 00:43
    Highlight Highlight Wie genau soll das gehen?
    Beim Login sieht man ja nur eingerichtete Benutzer und nix von root?
    Watson hat getestet?
    Schurter?
    • Midnight 29.11.2017 08:19
      Highlight Highlight Man kann im Loginfenster "Andere" oder den Login aktivieren, bei dem man Benutzername und Passwort eingeben muss. In beiden Fällen kann man dann "root" als Benutzername eingeben. Standardmässig sind aber beide Optionen deaktiviert und können nur mit einem Benutzer mit Admin-Rechten aktiviert werden.
    • p4trick 29.11.2017 11:09
      Highlight Highlight Finde es immer wieder lustig wie Laien öffentlich bekannt gegebene Security Leaks hinterfragen :-)
  • Ueli77 29.11.2017 00:39
    Highlight Highlight Wow, Watson ist mal schneller als heise...

Wir haben die Smartphone-Tastatur ein Leben lang falsch bedient

Es gibt für alles eine Lösung. Zumindest in der Handywelt.

Es ist wirklich eine nervige Situation: Da hat man sich vertippt, will ein bereits fertiggeschriebenes Wort im Satz nochmal ändern. Und? Man kommt nicht hin!

Grosse Finger, kleines Smartphone – das richtige (oder eben falsche) Satzzeichen zu erwischen, ist oft gar nicht so leicht. Zur Rettung schreitet: Krissy Brierre-Davis.

Die amerikanische Food-Bloggerin entdeckte am Wochenende ein kaum bekanntes iOS-Feature (das auch für Android …

Artikel lesen
Link to Article