V systému macOS High Sierra byla objevena významná bezpečnostní chyba, která potenciálně umožňuje jakékoli osobě přihlásit se k počítači Mac s plnými možnostmi správy roota bez hesla.

Toto je naléhavý bezpečnostní problém, a přestože by měla brzy dorazit aktualizace softwaru, která problém vyřeší, tento článek podrobně popisuje, jak chránit váš Mac před touto bezpečnostní dírou.

Důležitá aktualizace: Apple vydal aktualizaci zabezpečení 2017-001 pro macOS High Sierra, aby opravila chybu přihlášení root, stáhněte si ji. Pokud používáte macOS High Sierra, stáhněte si aktualizaci co nejdříve do svého Macu.

Co je chyba přihlášení uživatele root a proč na tom záleží?

Pro některé rychlé pozadí umožňuje bezpečnostní díra osobě zadat „root“ jako uživatelské jméno a poté se okamžitě přihlásit jako root k Macu bez hesla. K přihlášení root bez hesla může dojít přímo na fyzickém počítači na obrazovce obecného přihlášení uživatele, která se zobrazí při spouštění, z panelů System Preferences, které obvykle vyžadují ověření, nebo dokonce přes VNC a Remote Login, pokud jsou povoleny tyto dvě poslední funkce vzdáleného přístupu. Jakýkoli z těchto scénářů pak umožňuje plný přístup k počítači MacOS High Sierra bez použití hesla.

Uživatelský účet root poskytuje nejvyšší možnou úroveň přístupu k systému na MacOS nebo jakémkoli unixovém operačním systému, root poskytuje všechny možnosti administrátorských uživatelských účtů na počítači kromě neomezeného přístupu k jakékoli systémové úrovni komponenty nebo soubory.

Mezi uživatele počítačů Mac, kterých se chyba zabezpečení dotkla, patří kdokoli, kdo používá beta verzi macOS High Sierra 10.13, 10.13.1 nebo 10.13.2, kdo si dříve nepovolil účet root nebo nezměnil heslo účtu uživatele root na Macu dříve, což je velká většina uživatelů počítačů Mac, kteří používají High Sierra.

Zní to špatně, že? Je, ale existuje poměrně snadné řešení, které zabrání tomu, aby tato bezpečnostní chyba byla problémem. Jediné, co musíte udělat, je nastavit heslo uživatele root na postiženém Macu.

Jak zabránit přihlášení uživatele root bez hesla v systému MacOS High Sierra

Existují dva způsoby, jak zabránit přihlášení root bez hesla na počítači MacOS High Sierra, můžete použít Directory Utility nebo příkazový řádek. Pokryjeme obojí. Directory Utility je možná pro většinu uživatelů jednodušší, protože se provádí výhradně z grafického rozhraní na Macu, zatímco přístup z příkazové řádky je založen na textu a obecně je považován za složitější.

Použití adresářového nástroje k uzamčení kořene

1. Otevřete Spotlight na Macu stisknutím Command+mezerník (nebo kliknutím na ikonu Spotlight v pravém horním rohu lišty nabídek) a zadejte „Directory Utility“ a stisknutím klávesy Return spusťte aplikaci



2. Klikněte na malou ikonu zámku v rohu a ověřte se přihlášením k účtu správce



3. Nyní stáhněte nabídku „Upravit“ a vyberte „Změnit heslo uživatele root…“



4. Zadejte heslo pro uživatelský účet root a potvrďte, poté klikněte na „OK“



5. Zavřít nástroj Directory Utility

Pokud účet uživatele root ještě není povolen, vyberte „Povolit uživatele root“ a místo toho nastavte heslo.

V podstatě vše, co děláte, je přiřazení hesla účtu root, což znamená, že přihlášení pomocí root bude vyžadovat heslo, jak má. Pokud tímto způsobem nepřiřadíte heslo k rootování, překvapivě počítač macOS High Sierra přijímá přihlášení root bez hesla.

Použití příkazového řádku k přiřazení hesla root

Uživatelé, kteří by raději používali příkazový řádek v macOS, mohou také nastavit nebo přiřadit heslo uživatele root pomocí sudo a běžného starého příkazu passwd.

1. Otevřete aplikaci Terminál, kterou najdete v /Applications/Utilities/
2. Napište přesně do terminálu následující syntaxi a poté stiskněte klávesu Return:

kořen sudo passwd

3. Zadejte své heslo administrátora pro ověření a stiskněte return
4. Na „Nové heslo“ zadejte heslo, které nezapomenete, stiskněte Return a potvrďte je

Ujistěte se, že nastavíte heslo uživatele root na něco, co si budete pamatovat, nebo se možná dokonce shoduje s heslem vašeho správce.

Jak zjistím, zda je můj Mac ovlivněn chybou přihlášení root bez hesla?

Zdá se, že tato bezpečnostní chyba se týká pouze počítačů macOS High Sierra. Nejjednodušší způsob, jak zkontrolovat, zda je váš Mac zranitelný vůči chybě přihlášení root, je zkusit se přihlásit jako root bez hesla.

Můžete to provést z obecné přihlašovací obrazovky spouštění nebo prostřednictvím libovolného ověřovacího panelu správce (kliknutím na ikonu zámku) dostupného v Předvolbách systému, jako je FileVault nebo Uživatelé a skupiny.

Jednoduše zadejte „root“ jako uživatele, nezadávejte heslo a dvakrát klikněte na „Odemknout“ – pokud se vás chyba dotkne, budete přihlášeni jako root nebo vám budou udělena práva root. Musíte stisknout „odemknout“ dvakrát, při prvním kliknutí na tlačítko „odemknout“ se vytvoří root účet s prázdným heslem a při druhém kliknutí na „odemknout“ se přihlásí, což umožní plný přístup root.

Chyba, která je v podstatě 0denním zneužitím roota, byla poprvé veřejnosti nahlášena na Twitteru uživatelem @lemiorhan a rychle si získala pozornost médií a médií kvůli potenciální závažnosti dopadu. Apple si je zjevně vědom problému a pracuje na aktualizaci softwaru, aby problém vyřešil.

Ovlivňuje chyba přihlášení roota macOS Sierra, Mac OS X El Capitan nebo starší?

Chyba přihlášení root bez hesla zřejmě ovlivňuje pouze macOS High Sierra 10.13.xa nezdá se, že by ovlivnila dřívější verze systémového softwaru macOS a Mac OS X.

Navíc, pokud jste dříve povolili root pomocí příkazového řádku nebo pomocí Directory Utility nebo změnili heslo uživatele root někdy jindy, chyba by na takovém počítači macOS High Sierra nefungovala.

Pamatujte si, že Apple si je tohoto problému vědom a v blízké budoucnosti vydá bezpečnostní aktualizaci, aby chybu odstranil. Mezitím si udělejte laskavost a nastavte nebo změňte heslo uživatele root na počítačích Mac se systémem macOS High Sierra, abyste je ochránili před neoprávněným úplným přístupem k počítači a všem jeho datům a obsahu.