Как защитить macOS и установить пароль на root-права

01.12.2017

В актуальной версии macOS High Sierra, была обнаружена серьезная уязвимость системы безопасности: Apple не требует пароль, и злоумышленники могут получить root-права на любой Mac всего за пару секунд. Мы расскажем, как вы можете защитить свой ПК.

Еще несколько недель назад macOS High Sierra привлекла всеобщее внимание одним подозрительным багом: пароль к зашифрованным жестким дискам копировался в поле подсказки пароля и становился видным всем желающим. Все, кто успел подумать, что не может быть хуже, сильно ошибались: в обнаруженной на днях уязвимости Apple вообще не спрашивает пароль, а значит, мошенники могут получить полный доступ к компьютеру всего за несколько кликов.

Пароль? Какой Пароль?

Публичную огласку этот сенсационный баг получил благодаря Twitter. Исследователь информационной безопасности Леми Орхан Эргин (Lemi Orhan Ergin) описал в своем твите алгоритм действий, с помощью которых любой человек может получить root-права на Mac. А с этими правами у него будет полный контроль над компьютером и его содержимым.

Порядок действий для получения root-прав с помощью бага очень простой: нужно дождаться первого запроса логина от Apple, как это происходит, например, в управлении учетными записями пользователей. После этого в качестве логина надо указать слово «root» без кавычек, а поле ввода пароля оставить пустым. Первая попытка окажется безрезультатной, но если повторить ее несколько раз, Mac будет захвачен: в фоновом режиме Apple активирует пользователя root и присвоит ему пустой пароль.

На Twitter’e объяснили, как взять на абордаж чужой Mac

Установите обновление, чтобы устранить баг

Поскольку обнаруженная уязвимость является весьма серьезной, а факт её существования быстро стал достоянием общественности, компания Apple выпустила экстренное обновление, исправляющее баг. Уже сейчас пользователи Apple могут устанавливать обновление через App Store. Если на вашем устройстве активирована опция автоматического обновления, лучше ускорить этот процесс вручную, чтобы не подвергать себя лишнему риску.

В описании обновления Apple рекомендует своим пользователям установить его «как можно скорее». А в краткой аннотации к апдейту говорится: «В алгоритме проверки данных доступа находилась логическая ошибка. Она устранена улучшениями в области проверки». Кроме того, компания принесла извинения пользователям Mac и пообещала повысить контроль за процессом разработки программного обеспечения, чтобы избежать аналогичных ошибок в будущем.

Как защитить root-права macOS

Просто деактивировать root-доступ будет недостаточно, так как он может быть установлен заново. Вы можете защитить себя, задав пароль для учетной записи root.

Чтобы изменить пароль, нужно вызвать Службу каталогов через Spotlight. Сначала залогиньтесь под учетной записью администратора и разблокируйте приложение. Затем выберите в меню «Правка» пункт «Изменить корневой пароль».

Читайте также:
Как защитить почту Gmail
Используем самый безопасный в мире браузер