Twitter grzmi o poważnej luce w macOS: logowanie na roota bez hasła
Przed dosłownie dwoma godzinami na Twitterze wybuchła dyskusja po intrygującej obserwacji jednego z użytkowników macOS High Sierra. Lemi Orhan Ergin zauważył, że kiedy Mac pyta o hasło administracyjne (np. w celu wprowadzenia zmian w systemie) wystarczy wpisać "root" z pustym hasłem, kilkukrotnie nacisnąć enter i gotowe. Problem ma poważne i daleko idące konsekwencje.
Dear @AppleSupport, we noticed a HUGE security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 listopada 2017
Wygląda to na poważną lukę w bezpieczeństwie systemu Apple. Na redakcyjnym Maku wpiętym do domeny Active Directory nie mogę powtórzyć tego efektu, niemniej bardzo wielu użytkowników potwierdza problem, w tym inne osoby w naszej redakcji. Zauważono, że dzięki tej luce można między innymi odszyfrować dysk zabezpieczony przy pomocy FileVault. Pojawiły się też głosy (w tym poniższy film), które alarmują, że problem ma dalej idące następstwa i umożliwia obejście mechanizmu logowania.
— Christoph (@zeitgeist_y2k) 28 listopada 2017
Na ten moment sprawa ewidentnie jest świeża i rozwojowa, trudno powiedzieć, jak wielu użytkowników może dotyczyć ten problem. W dyskusję na Twitterze włączył się już użytkownik @AppleSupport, który prosi osoby potwierdzające problem o kontakt przez prywatny kanał.
Z dyskusji wynika, że póki co ominięciem tej luki jest włączenie konta root (które paradoksalnie jest domyślnie wyłączone) i ustawienie na nim silnego hasła. Można to zrobić w następujący sposób: w Preferencjach systemu wchodzimy w Użytkowników i grupy, tam w Opcje logowania, szukamy przycisku Serwer kont sieciowych (dołączenie lub edycja), otwieramy Narzędzie katalogowe i w menu Edycja wybieramy opcję Zmień hasło root. Dość skomplikowane, ale skuteczne.
Alternatywnie możemy też uruchomić terminal i następnie z wiersza poleceń wpisać sudo passwd -u root, po czym podać hasło dla użytkownika root.
W komentarzach przewija się oczywiście mnóstwo złośliwości pod adresem Apple. Jedną z bardziej zabawnych jest wiwat z odkrycia nowej, fantastycznej funkcji - passwordless login.
Użytkownicy debatują też, na ile odpowiedzialne było zachowanie odkrywcy problemu. Biorąc pod uwagę potencjalne implikacje takiej luki prawdopodobnie lepiej byłoby, gdyby Lemi Orhan Ergin zwrócił się z tym do Apple, zamiast pisać o tym na Twitterze. Lepiej nie tylko dla użytkowników komputerów Apple, ale i dla odkrywcy - w zeszłym roku Apple ogłosił program polowania na błędy i luki w zabezpieczeniach, w ramach którego wypłaty za odpowiedzialne zgłoszenia (kierowane tylko pod odpowiedni adres product-security@apple.com) idą w setki tysięcy dolarów. Mleko się jednak wylało i teraz wszyscy użytkownicy Maków powinni trzymać swój sprzęt pod kluczem, w zasięgu wzroku.
Aktualizacja, 29.11.2017: Apple potwierdziło już, że pracuje nad łatką usuwającą ten problem. Przy okazji okazało się, że na forach dyskusyjnych Apple jeden z użytkowników pisał o tym problemie ponad dwa tygodnie temu. Użytkownik chethan177 podsunął opisywaną od wczoraj metodą jako proste rozwiązanie problemu zalogowaniem się na komputer bez znajomości konta administracyjnego.
Użytkownicy na forum dla deweloperów Apple mają teraz żal do producenta, że nie jest to pierwszy raz, kiedy ignoruje poważne zgłoszenia ze społeczności dla swoich programistów, a reaguje dopiero kiedy sprawa trafia do mediów. Wskazują, że podobnych problemów jest więcej, o wielu z nich dyskutuje się od lat, a Apple nie reaguje na te wątki.