Apples neuste Mac-Systemsoftware (macOS High Sierra) weist eine gravierende Sicherheitslücke auf. Bei Twitter tobt deswegen gerade ein Shitstorm in Orkanstärke. Auch der NSA-Whistleblower Edward Snowden hat sich zu Wort gemeldet:
Imagine a locked door, but if you just keep trying the handle, it says "oh well" and lets you in without a key. https://t.co/KBW4qntMdA
— Edward Snowden (@Snowden) 28. November 2017
Dieser Tweet löste das Entsetzen aus:
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28. November 2017
watson konnte die Schwachstelle auf einem Macbook Pro ausprobieren und sich beim Anmeldefenster ohne Passwort als Benutzer mit Superrechten (sogenannter «Root») einloggen.
Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp
— Amit Serper (@0xAmit) 28. November 2017
«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen.
Mittlerweile kursieren Anweisungen, wie Mac-Besitzer ihren Computer vor unerwünschtem Zugriff schützen können.
Here’s How to Temporarily Fix the macOS High Sierra Bug That Gives Full Admin Access to Your Mac Sans Password https://t.co/Mvmu5XPuf1 by @julipuli pic.twitter.com/HgGa7YOCSH
— MacRumors.com (@MacRumors) 28. November 2017
Wer das Root-Passwort nicht ändern kann, sollte den Mac auf jeden Fall nicht unbeaufsichtigt herumstehen lassen.
Angriffe sollen auch über das Internet möglich sein, sofern die entfernte Anmeldung (Apple Remote Desktop) aktiviert ist.
FYI, this is confirmation the vuln works over VNC/Apple Remote Desktop.
— Christmas 667, because capitalism, thats why. (@da_667) 28. November 2017
People gonna be havin some fun on shodan today. https://t.co/zNo3mZlF2S
Die Apple-Ingenieure arbeiten bereits fieberhaft an einem Sicherheits-Update. Um sich zu schützen und das Root-Passwort festzulegen, wird auf diese Support-Seite verwiesen.
«Wir arbeiten an einem Software-Update, um das Problem anzugehen», erklärte Apple dazu in einer Stellungnahme. In der Zwischenzeit empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen. Über den Zugriff kann man System-Einstellungen verändern – so könnte über ihn zum Beispiel eine schützende Firewall deaktiviert werden.
Ein Fehler dieser Art ist ein blaues Auge für Apple, denn der Konzern wirbt mit einem besonderen Augenmerk auf Datenschutz und Sicherheit auf seinen Geräten. Zunächst blieb unklar, wie es zu der Sicherheitslücke kommen konnte.
Mit Material der SDA