自满和无能是最大的计算机安全威胁,苹果最新的Mac安全缺陷似乎将这两者结合在一起。 这个缺陷意味着任何有物理访问你的Mac的人都可以进入机器并修补它。
更新(11月29日上午9:30PD T):苹果已经发出道歉和补丁,以纠正这个问题,更多细节在这里。
这个问题(首先在这里被披露)是莱米·奥尔汉·埃尔金在一篇推特上首次披露的,他写道:
亲爱的@苹果支持,我们注意到了一个*HUGE*安全问题在MacOS塞拉。 点击几次登录按钮后,任何人都可以用空密码以“root”登录。 你知道吗@苹果?
你读得对。
任何运行MacOS HighSierra的Mac都容易遇到这个问题。 任何访问Mac的人都可以启动它,输入单词根作为用户ID并点击返回,同时将密码字段保留为空白。 你最初会被拒绝进入,但经过几次尝试,你将进入。
多个人成功地测试了这一点。
刚刚测试了苹果根登录bug.. 即使在machi被重新启动pic.twitter.com/fTHZ7nkcUp,您也可以作为root登录
我敦促你不要自己测试它,但我建议你立即采取步骤来修复问题,如下所示。
问题是,一旦你渗透到Mac作为一个根“超级用户”,你就可以进入系统偏好来进行其他更改,安装软件,并访问其他用户帐户中的文件。
正如苹果所说:
“名为“root”的用户帐户是一个超级用户,具有对系统更多区域的读写权限,包括其他MacOS用户帐户中的文件。
这是一个巨大的错误。
这似乎也是完全可以避免的-似乎任何地方的每个黑客都没有使用“根”一词来试图渗透安全。
苹果的工程师可能在这方面唯一的改进方法(即。 更糟糕的是,如果他们使用了密码‘123456’。
问题的存在是可耻的.. 为什么它存在,谁负责?
苹果公司的一位发言人告诉我:
“我们正在进行软件更新,以解决这个问题。 同时,设置根密码可以防止未经授权访问Mac。 若要启用根用户并设置密码,请按照这里的说明操作。 如果已启用根用户,为了确保未设置空白密码,请按照“更改根密码”部分的说明操作。
当您阅读文档时,您将了解到root是一个超级用户帐户,默认情况下在大多数系统上都是禁用的。
然而,这一缺陷破坏了这一点,并允许您作为根用户访问Mac。 而保护自己和堵塞这个缺陷的最好方法是创建一个真正的根用户帐户,并设置一个您控制的密码。
来自苹果支持:
“启用或禁用根用户
也可以使用终端检查和保护这一缺陷,如这里所解释的。
该错误不影响以前版本的MacOS,包括Sierra,ElCapitan或更老版本。
爱德华·斯诺登(Edward Snowden)最好地表达了缺陷的规模,他写道:
“想象一下有一扇锁着的门,但如果你一直试着把手,它会说‘哦,好吧’,让你没有钥匙就进去。
我对这个缺陷甚至存在感到震惊。 我认为这是苹果安全的一个绝对最低点。 这个问题影响了数百万台机器。 我将在这里更新Mac安全指南,但我敦促所有HighSierra用户立即应用此修复。