Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Eine gefährliche Schwachstelle macht Mac-Computer angreifbar. screenshot: twitter / watson

Massive Sicherheitslücke betrifft Mac-Computer – Login ohne Passwort möglich 😱

Angreifer können sich problemlos Zugriff auf Apple-Rechner mit dem aktuellen Betriebssystem macOS High Sierra verschaffen. Eine verstörende Entdeckung ...



Apples neuste Mac-Systemsoftware (macOS High Sierra) weist eine gravierende Sicherheitslücke auf. Bei Twitter tobt deswegen gerade ein Shitstorm in Orkanstärke. Auch der NSA-Whistleblower Edward Snowden hat sich zu Wort gemeldet:

«Stell dir eine verschlossene Tür vor, aber wenn du einfach weiter den Griff probierst, heisst es ‹oh gut› und man lässt dich ohne Schlüssel rein.»

Dieser Tweet löste das Entsetzen aus:

watson konnte die Schwachstelle auf einem Macbook Pro ausprobieren und sich beim Anmeldefenster ohne Passwort als Benutzer mit Superrechten (sogenannter «Root») einloggen.

Das Video zeigt, wie nach mehrmaligem Versuchen das Login klappt ...

abspielen

Video: YouTube/Carsten Knobloch

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen.

Mittlerweile kursieren Anweisungen, wie Mac-Besitzer ihren Computer vor unerwünschtem Zugriff schützen können. 

Wer das Root-Passwort nicht ändern kann, sollte den Mac auf jeden Fall nicht unbeaufsichtigt herumstehen lassen.

Angriffe sollen auch über das Internet möglich sein, sofern die entfernte Anmeldung (Apple Remote Desktop) aktiviert ist.

Die Apple-Ingenieure arbeiten bereits fieberhaft an einem Sicherheits-Update. Um sich zu schützen und das Root-Passwort festzulegen, wird auf diese Support-Seite verwiesen.

Ursache unklar

«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen. Über den Zugriff kann man System-Einstellungen verändern – so könnte über ihn zum Beispiel eine schützende Firewall deaktiviert werden.

Ein Fehler dieser Art ist ein blaues Auge für Apple, denn der Konzern wirbt mit einem besonderen Augenmerk auf Datenschutz und Sicherheit auf seinen Geräten. Zunächst blieb unklar, wie es zu der Sicherheitslücke kommen konnte.

Mit Material der SDA

Das könnte dich auch interessieren:

So manipulieren Karten unser Kaufverhalten

abspielen

Video: srf

Die bösartigsten Computer-Attacken aller Zeiten

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

Link zum Artikel

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

präsentiert vonMarkenlogo
Link zum Artikel

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

Link zum Artikel
Alle Artikel anzeigen

Mehr zum Thema Schutz der Privatsphäre im Internet

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

0
Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

2
Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

21
Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

42
Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

84
Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

172
Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

3
Link zum Artikel

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

24
Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

38
Link zum Artikel

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

8
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

50
Link zum Artikel

Mehr zum Thema Schutz der Privatsphäre im Internet

ETH-Forscher zeigt: Facebook kann deine Daten sammeln, selbst wenn du kein Konto hast

0
Link zum Artikel

Daten lassen sich offenbar nicht wirksam schützen – was macht denn eigentlich ein Datenschützer?

2
Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

21
Link zum Artikel

Du willst dein Handy sicherer machen? Dann solltest du diese 10 Regeln kennen

42
Link zum Artikel

Apple-Mitarbeiter hören sich deine Siri-Gespräche an – jup, auch das Bettgeflüster

84
Link zum Artikel

Wer ab Freitag das Internet nutzt, muss wissen, dass er vom Staat überwacht wird

172
Link zum Artikel

10 Massnahmen, um der digitalen Verfolgung zu entgehen

3
Link zum Artikel

21'000 Schweizer Passwörter gestohlen: So prüfst du, ob du gehackt wurdest

24
Link zum Artikel

Was Google, Facebook, Instagram und Snapchat wirklich von dir wissen – die laaaaange Liste

38
Link zum Artikel

Wie du Fake-News erkennst und was das mit deinen Daten zu tun hat 

8
Link zum Artikel

Google enthüllt sechs Sicherheitslücken in iOS – das solltest du wissen

34
Link zum Artikel

Das steckt hinter den merkwürdigen DJ-BoBo-Artikeln auf Facebook

50
Link zum Artikel

Das könnte dich auch interessieren:

Die Reaktionen auf Fox News legen eine schonungslose Wahrheit über das Impeachment offen

Link zum Artikel

So würde das Parlament aussehen, wenn nur die Romands wählen würden

Link zum Artikel

Das will die Mikrosteuer-Intiative – das Wichtigste in 5 Punkten

Link zum Artikel

Kritik an Federer-Fans wegen Applaus bei Doppelfehlern: «Das hat Djokovic nicht verdient»

Link zum Artikel

Diese 17-Jährige bezwingt die AfD. Eine Vorweihnachts-Geschichte, die ans Herz geht

Link zum Artikel

Heute kochen wir einen französischen Dreigänger. Weil Herbst. Und weil geil.

Link zum Artikel

Das Drama um Klein-Anna: Trennungsschmerz on fleek

Link zum Artikel

Darum macht sich Christian Levrat keine Sorgen wegen den erstarkten Grünen

Link zum Artikel

Katze zu fett für die Passagier-Kabine im Flugzeug – Besitzer trickst Airline aus

Link zum Artikel

Picdump. Spass. Jetzt.

Link zum Artikel

«Ein Asiate in Hausschuhen? Das gibt Ärger!» – der Chef hat ein Finken-Problem

Link zum Artikel

«The Game Changers» – haben wir uns ein Leben lang falsch ernährt?

Link zum Artikel
Alle Artikel anzeigen

Das könnte dich auch interessieren:

Die Reaktionen auf Fox News legen eine schonungslose Wahrheit über das Impeachment offen

84
Link zum Artikel

So würde das Parlament aussehen, wenn nur die Romands wählen würden

95
Link zum Artikel

Das will die Mikrosteuer-Intiative – das Wichtigste in 5 Punkten

141
Link zum Artikel

Kritik an Federer-Fans wegen Applaus bei Doppelfehlern: «Das hat Djokovic nicht verdient»

31
Link zum Artikel

Diese 17-Jährige bezwingt die AfD. Eine Vorweihnachts-Geschichte, die ans Herz geht

107
Link zum Artikel

Heute kochen wir einen französischen Dreigänger. Weil Herbst. Und weil geil.

46
Link zum Artikel

Das Drama um Klein-Anna: Trennungsschmerz on fleek

167
Link zum Artikel

Darum macht sich Christian Levrat keine Sorgen wegen den erstarkten Grünen

35
Link zum Artikel

Katze zu fett für die Passagier-Kabine im Flugzeug – Besitzer trickst Airline aus

46
Link zum Artikel

Picdump. Spass. Jetzt.

219
Link zum Artikel

«Ein Asiate in Hausschuhen? Das gibt Ärger!» – der Chef hat ein Finken-Problem

72
Link zum Artikel

«The Game Changers» – haben wir uns ein Leben lang falsch ernährt?

341
Link zum Artikel

Das könnte dich auch interessieren:

Die Reaktionen auf Fox News legen eine schonungslose Wahrheit über das Impeachment offen

84
Link zum Artikel

So würde das Parlament aussehen, wenn nur die Romands wählen würden

95
Link zum Artikel

Das will die Mikrosteuer-Intiative – das Wichtigste in 5 Punkten

141
Link zum Artikel

Kritik an Federer-Fans wegen Applaus bei Doppelfehlern: «Das hat Djokovic nicht verdient»

31
Link zum Artikel

Diese 17-Jährige bezwingt die AfD. Eine Vorweihnachts-Geschichte, die ans Herz geht

107
Link zum Artikel

Heute kochen wir einen französischen Dreigänger. Weil Herbst. Und weil geil.

46
Link zum Artikel

Das Drama um Klein-Anna: Trennungsschmerz on fleek

167
Link zum Artikel

Darum macht sich Christian Levrat keine Sorgen wegen den erstarkten Grünen

35
Link zum Artikel

Katze zu fett für die Passagier-Kabine im Flugzeug – Besitzer trickst Airline aus

46
Link zum Artikel

Picdump. Spass. Jetzt.

219
Link zum Artikel

«Ein Asiate in Hausschuhen? Das gibt Ärger!» – der Chef hat ein Finken-Problem

72
Link zum Artikel

«The Game Changers» – haben wir uns ein Leben lang falsch ernährt?

341
Link zum Artikel

Abonniere unseren Newsletter

29
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
29Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • fcsg 29.11.2017 17:39
    Highlight Highlight Inzwischen wurde der Bug durch ein Update behoben.
  • Alnothur 29.11.2017 13:21
    Highlight Highlight Dass dieser Bug überhaupt existieren kann, zeugt von grässlich unverantwortlicher Architektur im Sicherheits-Unterbau... Ein Unix so zu vermurksen, das schafft auch nur Apple.
  • martinsteiger 29.11.2017 10:44
    Highlight Highlight Einige Anmerkungen:

    1. Das «Bug Bounty Program» von Apple ist auf ausgewählte Personen beschränkt. Andere Personen, die Fehler melden, werden bestenfalls erwähnt, erhalten aber normalerweise kein Geld.

    2. Das Problem betrifft nicht allein «root», sondern auch andere Systemkonten.

    3. Der Bug wird in Apple-Foren schon seit einiger Zeit als Workaround für einen anderen MacOS High Sierra-Bug empfohlen (bei einigen Nutzern funktionierten mit High Sierra die Administratoren-Nutzerkonten nicht mehr).
  • Charlie B. 29.11.2017 09:25
    Highlight Highlight Alles halb so schlimm. Funktioniert das auch bei einer Neuanmeldung oder beim Entsperren es Mac? Ich vermute nicht. So wie es ausschaut bekommst du einfach erweiterte Rechte in den Systemeinstellungen. Was du sowieso bekommst wenn dein Account in der Administratoren Gruppe ist. Interessant wäre zu wissen ob ein nicht-Administrator Account auf dem Mac sich als root anmelden kann.
    • p4trick 29.11.2017 10:59
      Highlight Highlight halb so schlimm? Mit root kann sich einer einloggen auch wenn der Mac "gesperrt" ist, dann kann ich mit root dein Passwort ändern, alle deine Daten kopieren, deine Cookies klauen, deine gesamte Online Idendität übernehmen...
      aber ja alles halb so schlimm :-)
  • Pafeld 29.11.2017 09:01
    Highlight Highlight So langsam kann man für die postmortem-Steve-Jobs-Apple-Fails ne eigene Rubrik bei Watson einrichten.
  • Midnight 29.11.2017 08:14
    Highlight Highlight FileVault aktivieren und gut ist. Bei allen Macs, die die Festplattenverschlüsselung (oder das Firmware-Passwort) nicht aktiviert haben, konnte man schon immer über den Single User Mode oder über Recovery das Passwort eines beliebigen Users zurücksetzen. Das EFI-Passwort wird in diesem Fall zwar nichts bringen, FileVault mit aktivierter, automatischer Bildschirmsperre aber schon. Just saying...
    • p4trick 29.11.2017 11:02
      Highlight Highlight Auch wenn FileVault aktiviert ist und dein Mac gesperrt ist, mache ich einen "switch user" und log mich als root ein. Dann ändere ich dein Filevault passwort etc..
      So weit ich weiss ist user wechseln per Default aktiv?
  • Madison Pierce 29.11.2017 08:13
    Highlight Highlight "Ist ja nicht so schlimm, das kann man nur lokal ausnutzen. Hat ja niemand VNC aus dem Internet offen."

    Doch, haben die Leute: https://www.shodan.io/search?query=%22RFB+003.889%22+product%3A%22Apple+remote+desktop+vnc%22&language=en#_=_
    • Midnight 29.11.2017 08:52
      Highlight Highlight Selber schuld, sorry... Für Fernzugriff aus dem Internet gibt es VPN. Alles andere ist unverantwortlich. Allerdings wird man sich nicht per Remote in eine VPN-Session einklinken können. Insofern nicht wirklich relevant. Ausser wenn man die Zugangsdaten fürs Remote schon hat.
    • p4trick 29.11.2017 11:03
      Highlight Highlight Aber alle wollen "Cloud zuhause" und reissen alle Ports ihrer Firewall auf :-)
      Dass es anders geht mit dem Fernzugriff hat nichts damit zu tun dass viele Googlen um es "einfacher" zu machen...
  • Damogles 29.11.2017 08:07
    Highlight Highlight also nach 20 Login-Versuchen hat das bei meinem iMac mit root und meinem Account *nicht* funktioniert und ja, ich habe auf high Sierra aktualisiert.
  • Supermonkey 29.11.2017 07:54
    Highlight Highlight Shit... Das Video zeigt gar keinen Root-Login. Es zeigt eine Anmeldung WÄHREND bereits der User eingeloggt ist... Also Come On!
    • @schurt3r 29.11.2017 08:19
      Highlight Highlight Es war spät gestern Abend, ja. Aber das Root-Login hat (ohne Passwort) funktioniert auf einem Macbook Pro mit High Sierra.
      Hatte mich von meinem normalen Account abgemeldet, dann beim Anmeldefenster auf «Andere» geklickt und mit «root» angemeldet.
      Benutzer Bild
    • Statler 29.11.2017 09:51
      Highlight Highlight ??? Auf dem Login-Screen kann man nur die eingerichteten Accounts auswählen - «andere» hab' ich da noch nie gesehen???
    • @schurt3r 29.11.2017 11:45
      Highlight Highlight @Statler:

      Sieht in etwa so aus...
      Benutzer Bild
    Weitere Antworten anzeigen
  • x4253 29.11.2017 06:59
    Highlight Highlight Windows 98, bist dus?
    Benutzer Bildabspielen
    • p4trick 29.11.2017 11:07
      Highlight Highlight Zugegeben ist die Windows 98 Lücke aber einiges schwieriger als die aktuelle Mac Lücke :-)
  • walsi 29.11.2017 06:33
    Highlight Highlight Wenn ich das richtig verstanden habe, ist beim Mac nicht vorgesehen, dass man sich als root einloggt und deshalb auch kein Passwort gesetzt. Das System lässt root aber trotzdem nicht einloggen. Es sei denn, wie im Artikel beschrieben, man probiert es einige Male. Als Lösung wird nun vorgeschlagen, root ein Passwort zu geben. Hallo!!!! root muss immer ein sicheres Passwort haben, der kann alles ändern am System. Dass root von Anfang an kein Passwort hat, ist ein grober Fehler.
    • Madison Pierce 29.11.2017 07:44
      Highlight Highlight Wenn der root-Account standardmässig gesperrt ist, braucht er tatsächlich kein Passwort. Man kann sich dann nicht damit einloggen, aber mit "sudo su" eine root-Shell öffnen mit dem Benutzerpasswort.

      Dachte zuerst, bei einem Update sei die Sperre bei root irrtümlich entfernt worden. Aber das erklärt nicht, weshalb es erst nach einigen Versuchen funktioniert.
  • CASSIO 29.11.2017 05:57
    Highlight Highlight als ob die schwachstelle unbeabsichtigt wäre... wer hier glaubt sonst noch an den storch?
  • Mia_san_mia 29.11.2017 04:30
    Highlight Highlight Apple, wir müssen reden 😂
  • pedrinho 29.11.2017 02:50
    Highlight Highlight "Es ist davon auszugehen, dass die Apple-Ingenieure bereits fieberhaft an einem Sicherheits-Update arbeiten..."

    kommt davon, wenn man zu viel ueber die anderen lacht
  • Papa la Papp 29.11.2017 00:43
    Highlight Highlight Wie genau soll das gehen?
    Beim Login sieht man ja nur eingerichtete Benutzer und nix von root?
    Watson hat getestet?
    Schurter?
    • Midnight 29.11.2017 08:19
      Highlight Highlight Man kann im Loginfenster "Andere" oder den Login aktivieren, bei dem man Benutzername und Passwort eingeben muss. In beiden Fällen kann man dann "root" als Benutzername eingeben. Standardmässig sind aber beide Optionen deaktiviert und können nur mit einem Benutzer mit Admin-Rechten aktiviert werden.
    • p4trick 29.11.2017 11:09
      Highlight Highlight Finde es immer wieder lustig wie Laien öffentlich bekannt gegebene Security Leaks hinterfragen :-)
  • Ueli77 29.11.2017 00:39
    Highlight Highlight Wow, Watson ist mal schneller als heise...

Er riskierte sein Leben, um die Welt zu warnen – jetzt meldet sich Edward Snowden zurück

Schon in jungen Jahren spionierte er für die CIA in Genf. Nun will uns der Whistleblower mit einem neuen Buch zeigen, auf was es wirklich ankommt.

Edward Snowden war 30, als er alles, was ihm lieb war, hinter sich liess, um die Welt vor Big Brother und Massenüberwachung zu warnen. Jetzt meldet sich der NSA-Whistleblower, der seit 2013 in Russland im Exil leben muss, wieder zu Wort. Und seine jüngste Warnung klingt nicht weniger eindrücklich, im Gegenteil: Unsere offenen Gesellschaften und demokratischen Länder seien gefährdeter denn je.

Wir geben nachfolgend die wichtigsten Aussagen aus einem Interview wieder, das der schottische …

Artikel lesen
Link zum Artikel