Poważny błąd w systemie MacOS. Każdy może uzyskać uprawnienia roota

3 minuty czytania
Komentarze

Aktualizacja: Apple wydało już łatkę, która poprawia ten błąd. Mimo tego, warto się z nim zapoznać, bo potrafi zadziwić.

Komputery działające pod kontrolą systemu MacOS uznawane są za bardzo bezpieczne, a popularna w Internecie pogłoska na temat braku zagrożeń, które mogą czyhać na właścicieli urządzeń Apple’a wciąż jest powtarzana. W dzisiejszym artykule przedstawię Wam nieco inny typ niebezpieczeństwa, którego doświadczyć mogą właściciele Maców. Mowa tu o niedawno odkrytym poważnym błędzie, dzięki któremu każda osoba może uzyskać uprawnienia roota w systemie.

Zobacz też: HP instaluje spyware na urządzeniach użytkowników.

Na czym polega ten błąd?

Usterka w systemie MacOS jest wręcz zabawna w swojej prostocie. Na samym początku warto pamiętać, że wszystkie komputery działająca pod kontrolą systemu High Sierra 10.13.1 są zagrożone. Wersję systemu można łatwo sprawdzić, najeżdżając na logo Apple znajdujące się w lewym górnym rogu ekranu i wybierając opcję „Ten Mac…”.

Istnieją dwa sposoby uzyskania uprawnień roota w systemie bez odpowiedniego hasła, które zna właściciel komputera. Jeśli dany użytkownik posiada już swoje konto na komputerze, to wystarczy, że przejdzie on do aplikacji Preferencje systemowe i otworzy dowolną zakładkę wymagającą autoryzacji użytkownika.

Jak możecie zobaczyć na powyższym zrzucie ekranu, aktualnie nie mogę dokonywać zmian na swoim komputerze, ponieważ muszę dokonać autoryzacji. Okazuje się jednak, że krok ten można pominąć – wystarczy, że kliknę kłódkę, która znajduje się w lewym dolnym rogu ekranu…

…i w wyświetlonym oknie pole „Użytkownik” uzupełnię wyrazem root. Pole, w którym powinienem wpisać hasło, pozostawię puste, ponieważ na tym właśnie polega ten świeżo odkryty błąd.

Jak możecie zobaczyć na powyższym zrzucie ekranu, bez wpisywania jakiegokolwiek hasła udało mi się uzyskać dostęp do najwyższych uprawnień, które można uzyskać w systemie MacOS. Gdybym swój komputer udostępniał innym osobom, to podobną operację może wykonać absolutnie każdy, co oczywiście naraża mnie na pewne ryzyko.

Drugą metodą, która pozwala na ominięcie zabezpieczeń komputerów działających pod kontrolą systemu MacOS, jest skorzystanie z błędu w funkcji Fast User Switching, która pomaga nam szybko zmieniać konta użytkowników na komputerze. W tym celu, na ekranie logowania, wystarczy wybrać opcję „Inne konto” i powtórzyć powyższą operację – pole z nazwą użytkownika uzupełniamy słowem „root”, resztę zostawiamy puste. Jeśli komputer działa pod kompatybilną wersją systemu, to osoba korzystająca z błędu zostanie zalogowana na konto z uprawnieniami roota.

Co robić, jak żyć?

Niestety, opisany przeze mnie wyżej błąd jest zintegrowany z systemem, co oznacza, że możemy go samodzielnie naprawić jedynie poprzez manualne ustawienia hasła dla konta „root”. Ryzyko włamania do komputera można aktualnie zminimalizować, wyłączając opcję Fast User Switching. Apple wie już o problemie i prawdopodobnie łatka naprawiająca tę usterkę jest już w przygotowaniu. Nie pozostaje nam zatem nic innego, jak tylko czekać na reakcję producenta.

Źródło: Niebezpiecznik

Motyw