V systéme macOS High Sierra bola objavená významná bezpečnostná chyba, ktorá potenciálne umožňuje akejkoľvek osobe prihlásiť sa do Macu s úplnými možnosťami správy root bez hesla.

Toto je naliehavý bezpečnostný problém a hoci by mala čoskoro prísť softvérová aktualizácia na vyriešenie problému, tento článok podrobne popíše, ako ochrániť váš Mac pred touto bezpečnostnou dierou.

Dôležitá aktualizácia: Spoločnosť Apple vydala aktualizáciu zabezpečenia 2017-001 pre macOS High Sierra na opravu chyby prihlásenia root, stiahnite si ju teraz. Ak používate macOS High Sierra, stiahnite si aktualizáciu čo najskôr do svojho Macu.

Čo je chyba prihlásenia root a prečo na tom záleží?

Na rýchle pozadie umožňuje bezpečnostná diera osobe zadať „root“ ako používateľské meno a potom sa okamžite prihlásiť ako root do Macu bez hesla. Prihlásenie root bez hesla sa môže uskutočniť priamo na fyzickom počítači na všeobecnej prihlasovacej obrazovke používateľa, ktorá sa zobrazí pri zavádzaní systému, z panelov System Preferences, ktoré zvyčajne vyžadujú overenie, alebo dokonca cez VNC a Remote Login, ak sú povolené tieto dve posledné funkcie vzdialeného prístupu. Ktorýkoľvek z týchto scenárov potom umožňuje úplný prístup k počítaču MacOS High Sierra bez použitia hesla.

Používateľský účet typu root poskytuje najvyššiu možnú úroveň prístupu k systému na MacOS alebo akomkoľvek operačnom systéme založenom na unixe, root poskytuje všetky možnosti správcovských používateľských účtov na počítači okrem neobmedzeného prístupu k akejkoľvek systémovej úrovni komponenty alebo súbory.

Používatelia počítačov Mac, ktorých sa bezpečnostná chyba dotkla, zahŕňajú každého, kto používa beta verzie macOS High Sierra 10.13, 10.13.1 alebo 10.13.2, ktorí si predtým nepovolili účet root alebo nezmenili heslo účtu používateľa root na Macu predtým, čo je veľká väčšina používateľov počítačov Mac, ktorí používajú High Sierra.

Znie to zle, však? Je, ale existuje pomerne jednoduché riešenie, ktoré zabráni tomu, aby táto bezpečnostná chyba bola problémom. Jediné, čo musíte urobiť, je nastaviť root heslo na postihnutom Macu.

Ako zabrániť prihláseniu root bez hesla v systéme MacOS High Sierra

Existujú dva spôsoby, ako zabrániť prihláseniu root bez hesla na počítači MacOS High Sierra, môžete použiť Directory Utility alebo príkazový riadok. Pokryjeme obe. Directory Utility je možno pre väčšinu používateľov jednoduchší, pretože sa vykonáva výlučne z grafického rozhrania na Macu, zatiaľ čo prístup pomocou príkazového riadka je založený na texte a vo všeobecnosti sa považuje za zložitejší.

Použitie adresárovej pomôcky na uzamknutie koreňového adresára

1. Otvorte Spotlight na Macu stlačením Command+medzerník (alebo kliknutím na ikonu Spotlight v pravom hornom rohu panela s ponukami) a napíšte „Directory Utility“ a stlačením klávesu Return spustite aplikáciu



2. Kliknite na malú ikonu zámku v rohu a overte sa pomocou prihlasovacieho účtu správcu



3. Teraz rozbaľte ponuku „Upraviť“ a vyberte možnosť „Zmeniť heslo používateľa root…“



4. Zadajte heslo pre účet používateľa root a potvrďte, potom kliknite na „OK“



5. Zavrieť nástroj Directory Utility

Ak účet používateľa root ešte nie je povolený, vyberte možnosť „Povoliť používateľa root“ a namiesto toho nastavte heslo.

V podstate všetko, čo robíte, je priradenie hesla účtu root, čo znamená, že prihlásenie pomocou root bude potom vyžadovať heslo, ako by malo. Ak týmto spôsobom nepriradíte heslo na rootovanie, prekvapivo počítač so systémom macOS High Sierra akceptuje prihlásenie root bez hesla.

Používanie príkazového riadka na priradenie hesla root

Používatelia, ktorí by radšej používali príkazový riadok v systéme macOS, môžu tiež nastaviť alebo priradiť heslo root pomocou sudo a bežného starého príkazu passwd.

1. Otvorte aplikáciu Terminál, ktorú nájdete v /Applications/Utilities/
2. Napíšte nasledujúcu syntax presne do terminálu a potom stlačte kláves Return:

sudo passwd root

3. Zadajte svoje heslo správcu na overenie a stlačte kláves return
4. V časti Nové heslo zadajte heslo, ktoré nezabudnete, stlačte kláves Return a potvrďte ho

Uistite sa, že nastavíte heslo používateľa root na niečo, čo si zapamätáte, alebo sa možno dokonca zhoduje s heslom správcu.

Ako zistím, či je môj Mac ovplyvnený chybou prihlasovania root bez hesla?

Zdá sa, že táto bezpečnostná chyba sa týka iba počítačov so systémom macOS High Sierra. Najjednoduchší spôsob, ako skontrolovať, či je váš Mac zraniteľný voči chybe prihlásenia root, je skúsiť sa prihlásiť ako root bez hesla.

Môžete to urobiť zo všeobecnej prihlasovacej obrazovky spustenia alebo cez akýkoľvek overovací panel správcu (kliknutím na ikonu zámku), ktorý je k dispozícii v Systémových predvoľbách, ako je FileVault alebo Users & Groups.

Jednoducho zadajte „root“ ako používateľa, nezadávajte heslo a dvakrát kliknite na „Odomknúť“ – ak sa vás chyba dotkne, budete prihlásený ako root alebo vám budú udelené oprávnenia root. Musíte stlačiť „odomknúť“ dvakrát, pri prvom kliknutí na tlačidlo „odomknúť“ sa vytvorí root účet s prázdnym heslom a pri druhom kliknutí na „odomknúť“ sa prihlásite, čo umožní úplný prístup root.

Chyba, ktorá je v podstate 0-dňovým zneužitím rootov, bola prvýkrát nahlásená verejnosti na Twitteri od @lemiorhan a rýchlo si získala pozornosť médií a médií kvôli potenciálnej závažnosti dopadu. Apple si je zjavne vedomý problému a pracuje na aktualizácii softvéru, aby problém vyriešil.

Ovplyvňuje chyba prihlásenia root na macOS Sierra, Mac OS X El Capitan alebo staršie?

Zdá sa, že chyba prihlásenia root bez hesla ovplyvňuje iba macOS High Sierra 10.13.xa nezdá sa, že by mala vplyv na staršie verzie systémového softvéru macOS a Mac OS X.

Navyše, ak ste predtým povolili root cez príkazový riadok alebo pomocou Directory Utility alebo zmenili heslo root niekedy inokedy, chyba nebude fungovať na takomto počítači macOS High Sierra.

Pamätajte, že spoločnosť Apple si je vedomá tohto problému a v blízkej budúcnosti vydá bezpečnostnú aktualizáciu na odstránenie chyby. Medzitým si urobte láskavosť a nastavte alebo zmeňte heslo root na počítačoch Mac so systémom macOS High Sierra, aby ste ich ochránili pred neoprávneným úplným prístupom k počítaču a všetkým jeho údajom a obsahu.