Du bist nicht mit dem Internet verbunden.
Wissen 1923

Sicherheitslücke in macOS High Sierra: Wir zeigen dir die Apple-Schwachstelle und sagen dir, wie du dich schützen kannst.

In Apples Betriebssystem macOS High Sierra hat sich eine fiese und extrem einfach auszunutzende Sicherheitslücke eingeschlichen. Nach einem Test kann ich dir die Schwachstelle aufzeigen und sage dir, wie du wieder etwas sicherer wirst.

Apple macht gute Hardware. Apple macht gute Software. Apple macht eigentlich alles zumindest gut. Das betrifft auch die Sicherheitslücken in ihrem System. Denn wenn eine der raren Löcher in der Sicherheit Apples bekannt wird, dann ist das auch ein richtig gutes Loch. Und mit «gut» meine ich «schlimm».

Ein Test in der Redaktion – ich habe kurzerhand ein Macbook unserer Grafikabteilung geklaut – zeigt: Ja, das Sicherheitsleck ist echt und ja, es ist schlimm.

Username root, Passwort leer

Die Ausnutzung der Lücke ist relativ einfach. Du kennst den Bildschirm, wo du dein Passwort nochmal eingeben musst, damit du auf Ressourcen zugreifen kannst. Am ehesten findest du das in den Systemeinstellungen. Du willst etwas anpassen, ein kleiner Bildschirm taucht auf und fragt dich nach dem Passwort für deinen User Account. Auf meinem Laptop ist das der Benutzer «Creation» und das Passwort verrate ich dir nicht.

Es kann sein, dass Creation kein Zugriff auf die Ressource hat. In einem Unternehmen zum Beispiel. Da sind Geräte von der internen IT-Abteilung provisioniert und gewisse Systemeinstellungen sollen nicht verändert werden. Dann ist der Zugriff gesperrt und nur via Passwort des Benutzers zugänglich.

Wenn dieses Fenster auftaucht, gib folgenden Benutzernamen ein:

root

Lass das Passwortfeld leer und drück Enter. Das funktioniert vielleicht nicht beim ersten Mal, aber wenn du wiederholt Enter drückst, dann geht das irgendwann. Auf den Macs im Büro haben wir nie mehr als zwei Versuche gebraucht.

Voilà, du hast Zugriff auf die Ressource und kannst Systemeinstellungen nach Belieben anpassen. Entdeckt hat die Schwachstelle der türkische Information Security Researcher Lemi Orhan Ergin, der die Schwachstelle via Twitter veröffentlicht hat.

«Hey, @AppleSupport, wir haben ein riesiges Sicherheitsleck in macOS High Sierra festgestellt. Jeder kanns ich als root einloggen, wenn er das Passwort leer lässt und den Login Button mehrfach drückt»

Das ist nicht gut.

Wie du dich schützen kannst

So einfach die Lücke auszunutzen ist, so einfach ist es, das Loch zumindest userseitig zu stopfen. Ändere einfach das root-Passwort. Dazu musst du aber den Benutzer «root» aktivieren, der standardmässig inaktiv ist.

  1. Gehe aufs Apple-Menu oben links
  2. Gehe in die Systemeinstellungen
  3. Gehe auf Benutzer und Gruppen (oder Accounts)
  4. Klicke das Schloss-Symbol unten links
  5. Benutze entweder dein Passwort oder den oben beschriebenen root-Hack
  6. Anmeldeoptionen
  7. Join or edit
  8. Open Directory Utility
  9. Im Directory-Utility-Fenster, wieder Schloss-Symbol und Admin-Passwort oder root-Hack
  10. Oben im Menü: Edit → Enable root user
  11. Gib das Passwort ein, das der root user benutzen soll

Oder, wenn du es kürzer willst, öffne ein Terminal und gib folgende Befehlszeile ein:

sudo passwd -u root

Lustig, dass du einen Hack dazu verwenden kannst, den Hack abzuschiessen. Aber das nur so nebenbei.

«Stell dir eine verschlossene Tür vor, aber wenn du die Türfalle mehrfach drückst, dann sagt sie "Gut, dann halt" und lässt dich ohne Schlüssel rein»

Apple wird wohl in Windeseile ein Update veröffentlichen, das das Problem mit root beheben wird. Wäre auch recht einfach. Auch wenn an der Struktur und Implementation roots nichts geändert werden kann, so kann die Sache recht einfach mitigiert werden: Leere Passwortfelder sind unzulässig.

Darum: Sobald Apple dir vorschlägt, ein Update zu installieren, tu es.

Wer ist eigentlich dieser root? Den habe ich doch gar nicht auf meinem Mac

Der Benutzer root ist einer der Standard-Accounts auf Unix-basierten Systemen. Apples Betriebssystem macOS ist Unix-basiert. Wenn das Wort «root» aus dem Englischen übersetzt wird, heisst das «Wurzel». Daher ist es nicht verwunderlich, dass der root-Account für das System extrem wichtig ist. Er ist sogar der wichtigste Account im System.

root ist der vom System hinterlegte und nicht entfernbare Administrationsaccount.

Der Account hat alle Rechte auf dem Computer oder dem Netzwerk, was ihn natürlich zu einem extrem mächtigen Werkzeug macht. Das Windows-Pendant zu root ist der «Administrator»-Account.

So. Fertig. Bitte pass deinen root-Account an und installiere das Update, sobald es kommt. Stay safe!

User
Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

19 Kommentare

User TomPat64

High Sierra. Low Security.

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User jeevanandk

Die Entwickler und Tester waren wohl high.

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User romanfrey

Der Patch wurde gerade von Apple veröffentlicht.

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User netzhuffle

Und das in unter 24 Stunden. Nicht schlecht!

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User account

Und wurde mit mac OS 10.13.1 bereits wieder rückgängig gemacht aus Versehen. Unglaublich.

02.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User amigafreak

Ich habe mich schon immer gefragt, warum der root-account vom unix beim macOs kein Passwort hat und es per default nicht gesetzt wird. Das erste was ich an jedem mac mache ist das root-Passwort zu setzen. Fand das schon immer äusserst kritisch. Aber die markanten Sicherheitslücken im macOS häufen sich

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User netzhuffle

Weil er normalerweise eigentlich nicht benutzt werden kann. Tja, normalerweise.

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User amigafreak

@Netzhuffle: es gibt einen Account auf dem System der vollen Adminzugang hat und nicht passwortgeschützt ist. Auch wenn durch das Apple-Gebastel oben drauf dieser Account versucht wird zu entmachten, ist dies ein potentieller Angriffspunkt. Also warum wird dieser Account nicht standardmässig bei der Installation mit einem Passwort abgesichert?

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Apple hat gestern reagiert und ein Security Update herausgebracht. support.apple.com/en-us/HT2... Sollte automatisch auf euren Systemen installiert worden sein.

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

sowas hätte NIE und Nimmer auf den Markt kommen dürfen, patch hin oder her. Aber MS ist da nicht besser.

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

lol warum auch immer dieser kommentar downvotes hat 🤷‍♂️

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

So ein Artikel kann nur vom Digitec Hacker persönlich kommen.. Wer nennt sich bitteschön Hacker oder "Journalist. Autor. Hacker.".
Lächerlich sowas

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Spoofy

Also ich mag Dominiks Artikel. Sie helfen vor allem weniger versierten Benutzern, was ich eine extrem gute Sache finde.

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Es mag sein das seine "Artikel" mehr Anklang finden bei Alltags-Anwender. Aber es braucht schon etwas mehr bevor man sich mit Titeln schmücken sollte. Selbst die Rechtschreibung lässt zu wünschen übrig.

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User fumo

@Oliversmart nein sie führen euch meist in die Irre, ihr könnt (und wollt) es nur nicht besser wissen ;)

30.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User MystikReasons

Typisch Apple. Überteuerte Produkte und inklusive bekommt man schlechte Sicherheitsmassnahmen. :)

29.11.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User smouker

Nicht nur das...

Siehe Hier:
heise.de/mac-and-i/meldung/...

Hier:
heise.de/mac-and-i/meldung/...

und hier:
heise.de/mac-and-i/meldung/...

Apple erlaubt sich zurzeit einige Peinlichkeiten.

01.12.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo