Am 28. und 29.11.2017 geisterte es durch alle Medien: Apple hat sich einen riesigen Schnitzer in seinem aktuellsten Betriebssystem macOS High Sierra erlaubt, der bis dato auch noch in den aktuellsten Beta-Versionen von macOS 10.13.2 vorhanden ist: Personen mit physischem Zugriff auf einen Mac können sich offenbar vollen Administrator-Zugriff auf das System verschaffen.
Alles, was man tun muss, ist in einem Authentifizierungs-Dialog „root“ als Benutzer einzutragen und das Passwort-Feld leerzulassen. Teilweise muss man zwei oder drei Mal auf OK klicken, bevor sich das Schloss plötzlich öffnet und man vollen Zugriff auf das System hat.
Die Lösung
Ohne jetzt darüber zu spekulieren, wie so etwas möglich sein konnte, will ich hier die Lösung skizzieren. Zwei Dinge sind zu tun:
- root-Passwort ändern
- root-Benutzer aktiviert lassen und keinesfalls deaktivieren!
root ist ein Administrator-Account, der auf allen Unix-Systemen, zu denen macOS ja nun auch gehört, vorhanden ist. root hat die weitreichendsten Systemrechte und darf (fast) alles. Standardmäßig ist dieser Benutzer auf macOS deaktiviert. Der hier entdeckte Bug zeichnet sich also dadurch aus, dass root von Apples Entwicklern aktiviert wurde und obendrein kein Passwort hinterlegt ist. Damit sind von der Lücke diejenigen User nicht betroffen, die ihren root-User schon mit Passwort aktiviert hatten.
root-Passwort ändern
Es gibt verschiedene Möglichkeiten, dies zu tun. Da wir Mac-User lieber mit „Klickibunti“ arbeiten, also ungern kryptische Befehle ins Terminal hacken, präsentiere ich hier eine relativ anwenderfreundliche Methode.
Programm „Verzeichnisdienste“ öffnen
Dieses Programm ist in den Tiefen von macOS versteckt. Entweder man kann es öffnen, indem man danach per Spotlight sucht,
oder man öffnet ein Finder-Fenster und navigiert in den Ordner System/Library/CoreServices/Applications.
Um hier Änderungen vornehmen zu können, muss man unten links auf das Schloss klicken, um sich als Administrator zu authentifizieren. Wir können uns ja mal den Spaß machen und als Benutzer root eintragen und das Passwortfeld leer lassen. Sollten Sie von der Lücke betroffen sein, müsste Ihnen diese Kombination jetzt Einlass gewähren.
Als Nächstes rufen Sie das Bearbeiten-Menü aus und wählen root-Passwort ändern.
Es öffnet sich ein Dialogfenster. Geben Sie ein sicheres Passwort ein (es muss zwei Mal eingetragen werden). Fertig, die Sicherheitslücke ist damit gestopft. Schließen Sie die Verzeichnisdienste wieder.
Wichtiger Hinweis
Kommen Sie nicht auf die Idee, den root-Benutzer zu deaktivieren (diese Option ist Ihnen vielleicht im Bearbeiten-Menü der Verzeichnisdienste aufgefallen)! Wenn Sie das tun, wird die Lücke wieder geöffnet, denn das root-Passwort wird damit zurückgesetzt und man kann sich wieder ohne Passwort Zugriff verschaffen!
Shame on you Apple!
Update
Mittlerweile hat Apple das dringend erforderliche Software-Update nachgeschoben. Es sollte dringend über die App-Store-App – Updates installiert werden. Für das Update ist kein Neustart erforderlich.