Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Eine gefährliche Schwachstelle macht Mac-Computer angreifbar. screenshot: twitter / watson

Massive Sicherheitslücke betrifft Mac-Computer – Login ohne Passwort möglich 😱

Angreifer können sich problemlos Zugriff auf Apple-Rechner mit dem aktuellen Betriebssystem macOS High Sierra verschaffen. Eine verstörende Entdeckung ...



Apples neuste Mac-Systemsoftware (macOS High Sierra) weist eine gravierende Sicherheitslücke auf. Bei Twitter tobt deswegen gerade ein Shitstorm in Orkanstärke. Auch der NSA-Whistleblower Edward Snowden hat sich zu Wort gemeldet:

«Stell dir eine verschlossene Tür vor, aber wenn du einfach weiter den Griff probierst, heisst es ‹oh gut› und man lässt dich ohne Schlüssel rein.»

Dieser Tweet löste das Entsetzen aus:

watson konnte die Schwachstelle auf einem Macbook Pro ausprobieren und sich beim Anmeldefenster ohne Passwort als Benutzer mit Superrechten (sogenannter «Root») einloggen.

Das Video zeigt, wie nach mehrmaligem Versuchen das Login klappt ...

abspielen

Video: YouTube/Carsten Knobloch

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen.

Mittlerweile kursieren Anweisungen, wie Mac-Besitzer ihren Computer vor unerwünschtem Zugriff schützen können. 

Wer das Root-Passwort nicht ändern kann, sollte den Mac auf jeden Fall nicht unbeaufsichtigt herumstehen lassen.

Angriffe sollen auch über das Internet möglich sein, sofern die entfernte Anmeldung (Apple Remote Desktop) aktiviert ist.

Die Apple-Ingenieure arbeiten bereits fieberhaft an einem Sicherheits-Update. Um sich zu schützen und das Root-Passwort festzulegen, wird auf diese Support-Seite verwiesen.

Ursache unklar

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen. Über den Zugriff kann man System-Einstellungen verändern – so könnte über ihn zum Beispiel eine schützende Firewall deaktiviert werden.

Ein Fehler dieser Art ist ein blaues Auge für Apple, denn der Konzern wirbt mit einem besonderen Augenmerk auf Datenschutz und Sicherheit auf seinen Geräten. Zunächst blieb unklar, wie es zu der Sicherheitslücke kommen konnte.

Mit Material der SDA

Das könnte dich auch interessieren:

So manipulieren Karten unser Kaufverhalten

abspielen

Video: srf

Die bösartigsten Computer-Attacken aller Zeiten

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

Link zum Artikel

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

Link zum Artikel

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

präsentiert vonMarkenlogo
Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

Link zum Artikel
Alle Artikel anzeigen

Mehr zum Thema Schutz der Privatsphäre im Internet

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

8
Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

3
Link zum Artikel

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

0
Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

2
Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

36
Link zum Artikel

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

24
Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

21
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

80
Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

168
Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

38
Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

50
Link zum Artikel

Mehr zum Thema Schutz der Privatsphäre im Internet

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

8
Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

3
Link zum Artikel

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

0
Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

2
Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

36
Link zum Artikel

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

24
Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

21
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

80
Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

168
Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

38
Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

50
Link zum Artikel

Das könnte dich auch interessieren:

Siehst du öfters diesen Vogel? Das hat einen bestimmten Grund

Link zum Artikel

Teenie-Idol Billie Eilish (18!) macht Bond-Song. And WHY NOT? Könnte geil werden

Link zum Artikel

Weshalb sich Experten nach dem Freispruch der Klimaaktivisten an den Kopf fassen

Link zum Artikel

Der lange Weg des Daniele Sette zu seinen ersten Weltcup-Punkten – mit 27 Jahren

Link zum Artikel

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

Link zum Artikel

5 idiotische Menschentypen, die es im Leben einfacher haben als du

Link zum Artikel

Das Wahljahr hat begonnen und Donald Trump steht ziemlich gut da

Link zum Artikel

«Warum können viele Männer nicht mit einem Korb umgehen?»

Link zum Artikel

Grün wie die Hoffnung – hier kommt das erste Quizz den Huber im 2020!

Link zum Artikel

Déjà-vu für die Queen: Als eine geschiedene Amerikanerin den Briten ihren König stahl

Link zum Artikel

So viele Ordnungsbussen werden in Basel verteilt – und das sind die häufigsten Vergehen

Link zum Artikel

Parmelin eröffnet Untersuchung zu Hochseeschiffen

Link zum Artikel

«Habe versucht, so cool wie möglich zu tun» – die Stimmen zu Rinnes rarem Goalie-Goal

Link zum Artikel

Sie war Junkie, Kult und Bitch – jetzt ist Elizabeth Wurtzel gestorben

Link zum Artikel

Ulrich Tilgner: «Die Amerikaner schiessen im Nahen Osten gerade Eigentor um Eigentor»

Link zum Artikel

Ein Shitstorm entlädt sich über Roger Federer – und Greta Thunberg ist mitschuldig

Link zum Artikel

Besser extra zu spät als nie: PICDUMP!

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Siehst du öfters diesen Vogel? Das hat einen bestimmten Grund

75
Link zum Artikel

Teenie-Idol Billie Eilish (18!) macht Bond-Song. And WHY NOT? Könnte geil werden

73
Link zum Artikel

Weshalb sich Experten nach dem Freispruch der Klimaaktivisten an den Kopf fassen

470
Link zum Artikel

Der lange Weg des Daniele Sette zu seinen ersten Weltcup-Punkten – mit 27 Jahren

3
Link zum Artikel

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

30
Link zum Artikel

5 idiotische Menschentypen, die es im Leben einfacher haben als du

60
Link zum Artikel

Das Wahljahr hat begonnen und Donald Trump steht ziemlich gut da

91
Link zum Artikel

«Warum können viele Männer nicht mit einem Korb umgehen?»

326
Link zum Artikel

Grün wie die Hoffnung – hier kommt das erste Quizz den Huber im 2020!

71
Link zum Artikel

Déjà-vu für die Queen: Als eine geschiedene Amerikanerin den Briten ihren König stahl

28
Link zum Artikel

So viele Ordnungsbussen werden in Basel verteilt – und das sind die häufigsten Vergehen

171
Link zum Artikel

Parmelin eröffnet Untersuchung zu Hochseeschiffen

20
Link zum Artikel

«Habe versucht, so cool wie möglich zu tun» – die Stimmen zu Rinnes rarem Goalie-Goal

7
Link zum Artikel

Sie war Junkie, Kult und Bitch – jetzt ist Elizabeth Wurtzel gestorben

9
Link zum Artikel

Ulrich Tilgner: «Die Amerikaner schiessen im Nahen Osten gerade Eigentor um Eigentor»

102
Link zum Artikel

Ein Shitstorm entlädt sich über Roger Federer – und Greta Thunberg ist mitschuldig

363
Link zum Artikel

Besser extra zu spät als nie: PICDUMP!

131
Link zum Artikel

Das könnte dich auch interessieren:

Siehst du öfters diesen Vogel? Das hat einen bestimmten Grund

75
Link zum Artikel

Teenie-Idol Billie Eilish (18!) macht Bond-Song. And WHY NOT? Könnte geil werden

73
Link zum Artikel

Weshalb sich Experten nach dem Freispruch der Klimaaktivisten an den Kopf fassen

470
Link zum Artikel

Der lange Weg des Daniele Sette zu seinen ersten Weltcup-Punkten – mit 27 Jahren

3
Link zum Artikel

Eine Untergrund-Industrie plündert Kreditkarten – so schützen uns die Karten-Detektive

30
Link zum Artikel

5 idiotische Menschentypen, die es im Leben einfacher haben als du

60
Link zum Artikel

Das Wahljahr hat begonnen und Donald Trump steht ziemlich gut da

91
Link zum Artikel

«Warum können viele Männer nicht mit einem Korb umgehen?»

326
Link zum Artikel

Grün wie die Hoffnung – hier kommt das erste Quizz den Huber im 2020!

71
Link zum Artikel

Déjà-vu für die Queen: Als eine geschiedene Amerikanerin den Briten ihren König stahl

28
Link zum Artikel

So viele Ordnungsbussen werden in Basel verteilt – und das sind die häufigsten Vergehen

171
Link zum Artikel

Parmelin eröffnet Untersuchung zu Hochseeschiffen

20
Link zum Artikel

«Habe versucht, so cool wie möglich zu tun» – die Stimmen zu Rinnes rarem Goalie-Goal

7
Link zum Artikel

Sie war Junkie, Kult und Bitch – jetzt ist Elizabeth Wurtzel gestorben

9
Link zum Artikel

Ulrich Tilgner: «Die Amerikaner schiessen im Nahen Osten gerade Eigentor um Eigentor»

102
Link zum Artikel

Ein Shitstorm entlädt sich über Roger Federer – und Greta Thunberg ist mitschuldig

363
Link zum Artikel

Besser extra zu spät als nie: PICDUMP!

131
Link zum Artikel

Abonniere unseren Newsletter

25
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
25Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • fcsg 29.11.2017 17:39
    Highlight Highlight Inzwischen wurde der Bug durch ein Update behoben.
  • Alnothur 29.11.2017 13:21
    Highlight Highlight Dass dieser Bug überhaupt existieren kann, zeugt von grässlich unverantwortlicher Architektur im Sicherheits-Unterbau... Ein Unix so zu vermurksen, das schafft auch nur Apple.
  • martinsteiger 29.11.2017 10:44
    Highlight Highlight Einige Anmerkungen:

    1. Das «Bug Bounty Program» von Apple ist auf ausgewählte Personen beschränkt. Andere Personen, die Fehler melden, werden bestenfalls erwähnt, erhalten aber normalerweise kein Geld.

    2. Das Problem betrifft nicht allein «root», sondern auch andere Systemkonten.

    3. Der Bug wird in Apple-Foren schon seit einiger Zeit als Workaround für einen anderen MacOS High Sierra-Bug empfohlen (bei einigen Nutzern funktionierten mit High Sierra die Administratoren-Nutzerkonten nicht mehr).
  • Charlie B. 29.11.2017 09:25
    Highlight Highlight Alles halb so schlimm. Funktioniert das auch bei einer Neuanmeldung oder beim Entsperren es Mac? Ich vermute nicht. So wie es ausschaut bekommst du einfach erweiterte Rechte in den Systemeinstellungen. Was du sowieso bekommst wenn dein Account in der Administratoren Gruppe ist. Interessant wäre zu wissen ob ein nicht-Administrator Account auf dem Mac sich als root anmelden kann.
    • p4trick 29.11.2017 10:59
      Highlight Highlight halb so schlimm? Mit root kann sich einer einloggen auch wenn der Mac "gesperrt" ist, dann kann ich mit root dein Passwort ändern, alle deine Daten kopieren, deine Cookies klauen, deine gesamte Online Idendität übernehmen...
      aber ja alles halb so schlimm :-)
  • Pafeld 29.11.2017 09:01
    Highlight Highlight So langsam kann man für die postmortem-Steve-Jobs-Apple-Fails ne eigene Rubrik bei Watson einrichten.
  • Madison Pierce 29.11.2017 08:13
    Highlight Highlight "Ist ja nicht so schlimm, das kann man nur lokal ausnutzen. Hat ja niemand VNC aus dem Internet offen."

    Doch, haben die Leute: https://www.shodan.io/search?query=%22RFB+003.889%22+product%3A%22Apple+remote+desktop+vnc%22&language=en#_=_
    • p4trick 29.11.2017 11:03
      Highlight Highlight Aber alle wollen "Cloud zuhause" und reissen alle Ports ihrer Firewall auf :-)
      Dass es anders geht mit dem Fernzugriff hat nichts damit zu tun dass viele Googlen um es "einfacher" zu machen...
  • Damogles 29.11.2017 08:07
    Highlight Highlight also nach 20 Login-Versuchen hat das bei meinem iMac mit root und meinem Account *nicht* funktioniert und ja, ich habe auf high Sierra aktualisiert.
  • Supermonkey 29.11.2017 07:54
    Highlight Highlight Shit... Das Video zeigt gar keinen Root-Login. Es zeigt eine Anmeldung WÄHREND bereits der User eingeloggt ist... Also Come On!
    • @schurt3r 29.11.2017 08:19
      Highlight Highlight Es war spät gestern Abend, ja. Aber das Root-Login hat (ohne Passwort) funktioniert auf einem Macbook Pro mit High Sierra.
      Hatte mich von meinem normalen Account abgemeldet, dann beim Anmeldefenster auf «Andere» geklickt und mit «root» angemeldet.
      Benutzer Bild
    • Statler 29.11.2017 09:51
      Highlight Highlight ??? Auf dem Login-Screen kann man nur die eingerichteten Accounts auswählen - «andere» hab' ich da noch nie gesehen???
    • @schurt3r 29.11.2017 11:45
      Highlight Highlight @Statler:

      Sieht in etwa so aus...
      Benutzer Bild
    Weitere Antworten anzeigen
  • x4253 29.11.2017 06:59
    Highlight Highlight Windows 98, bist dus?
    Benutzer Bildabspielen
    • p4trick 29.11.2017 11:07
      Highlight Highlight Zugegeben ist die Windows 98 Lücke aber einiges schwieriger als die aktuelle Mac Lücke :-)
  • walsi 29.11.2017 06:33
    Highlight Highlight Wenn ich das richtig verstanden habe, ist beim Mac nicht vorgesehen, dass man sich als root einloggt und deshalb auch kein Passwort gesetzt. Das System lässt root aber trotzdem nicht einloggen. Es sei denn, wie im Artikel beschrieben, man probiert es einige Male. Als Lösung wird nun vorgeschlagen, root ein Passwort zu geben. Hallo!!!! root muss immer ein sicheres Passwort haben, der kann alles ändern am System. Dass root von Anfang an kein Passwort hat, ist ein grober Fehler.
    • Madison Pierce 29.11.2017 07:44
      Highlight Highlight Wenn der root-Account standardmässig gesperrt ist, braucht er tatsächlich kein Passwort. Man kann sich dann nicht damit einloggen, aber mit "sudo su" eine root-Shell öffnen mit dem Benutzerpasswort.

      Dachte zuerst, bei einem Update sei die Sperre bei root irrtümlich entfernt worden. Aber das erklärt nicht, weshalb es erst nach einigen Versuchen funktioniert.
  • CASSIO 29.11.2017 05:57
    Highlight Highlight als ob die schwachstelle unbeabsichtigt wäre... wer hier glaubt sonst noch an den storch?
  • Mia_san_mia 29.11.2017 04:30
    Highlight Highlight Apple, wir müssen reden 😂
  • pedrinho 29.11.2017 02:50
    Highlight Highlight "Es ist davon auszugehen, dass die Apple-Ingenieure bereits fieberhaft an einem Sicherheits-Update arbeiten..."

    kommt davon, wenn man zu viel ueber die anderen lacht
  • Papa la Papp 29.11.2017 00:43
    Highlight Highlight Wie genau soll das gehen?
    Beim Login sieht man ja nur eingerichtete Benutzer und nix von root?
    Watson hat getestet?
    Schurter?
    • p4trick 29.11.2017 11:09
      Highlight Highlight Finde es immer wieder lustig wie Laien öffentlich bekannt gegebene Security Leaks hinterfragen :-)
  • Ueli77 29.11.2017 00:39
    Highlight Highlight Wow, Watson ist mal schneller als heise...

Das E-Voting der Post ist offiziell gehackt – so reagieren Bund, Post und die Hacker

Der Bund will E-Voting flächendeckend einführen. Die Post muss daher ihr E-Voting-System einem öffentlichen Hacker-Test unterziehen. Doch nun haben IT-Experten eine gravierende Sicherheitslücke gefunden. Die wichtigsten Antworten im Überblick.

Die E-Voting-Bombe platzte heute Morgen: Internationale und Schweizer IT-Experten haben unabhängig voneinander gezeigt, dass eine kritische Lücke im Schweizer E-Voting-System dazu genutzt werden könnte, um Stimmen zu manipulieren, ohne dass dies nachgewiesen werden kann. Die Post hat dies bestätigt.

Ein Programmierfehler macht's möglich: Einige wenige Menschen bei der Post oder den Kantonen mit Spezialwissen und dem notwendigen Zugriff auf die IT-Infrastruktur hätten E-Voting-Resultate …

Artikel lesen
Link zum Artikel