Apple’s besturingssysteem macOS High Sierra heeft een ernstig lek, ontdekte ontwikkelaar Lemi Ergin. Het is namelijk mogelijk om zonder een wachtwoord in te voeren volledige toegang tot het systeem te krijgen. Ergin plaatste zijn ontdekking op Twitter.
Door het beveiligingslek kun je bij een ingelogd account de vergrendelde inlog-opties in de systeeminstellingen openen als beheerdersaccount ‘root’. Volgens Ergin hoef je alleen de gebruikersnaam ‘root’ in te vullen en vervolgens een paar keer op “login” te klikken.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Heb je root-toegang, dan heb je ook direct de hoogste toegang. Daardoor kun je bij alle bestanden op de computer en wachtwoorden aanpassen. Heb je de kwetsbaarheid eenmaal in de systeeminstellingen gebruikt, dan kun je ook vanaf het loginscherm van de Mac als root inloggen.
Root-gebruiker inschakelen
Wil je het probleem tijdelijk oplossen, dan kun je de root-gebruiker handmatig inschakelen. Dan kun je die voorzien van een wachtwoord en is inloggen met een leeg wachtwoordveld niet meer mogelijk.
Of Ergin het lek bij Apple heeft gemeld voor deze openbaar werd gemaakt, is niet duidelijk. Op Twitter heeft Apple inmiddels gereageerd. Het bedrijf kijkt samen met de onderzoeker wat er precies mis gaat. Wanneer het lek wordt gedicht, is niet duidelijk.