Bug in macOS High Sierra omzeilt inlogprocedure

Door een lek in macOS High Sierra hebben kwaadwillenden geen wachtwoord nodig om het systeem binnen te dringen. Met 'root' als gebruikersnaam is het mogelijk om zonder password in te loggen.

Het beveiligingslek werd door de gebruiker Lemi Orhan Ergin gedeeld op Twitter. Hij ontdekte dat het mogelijk was om als rootgebruiker in te loggen zonder een wachtwoord op te geven. Dit account met de naam 'root' is een admin-gebruiker met lees- en schrijfbevoegdheid voor een groter deel van het systeem dan een gewone gebruiker. Door in te loggen als rootgebruiker, kun je bijvoorbeeld wachtwoorden wijzigen van meerdere gebruikersaccounts.

Wanneer je wijzigingen wil aanbrengen aan de instellingen van macOS, moet je inloggen door op het hangslot te klikken en vervolgens je wachtwoord in te voeren. Bij Instellingen - Gebruikers en groepen is het in macOS High Sierra mogelijk om als rootgebruiker in te loggen door als gebruikersnaam 'root' in te vullen en simpelweg een paar keer op Enter te drukken. Het werkt niet als je met de muis op Ontgrendel drukt.

Maatregelen

Apple werkt momenteel aan een update om het probleem op te lossen. Tot die tijd kan de kwetsbaarheid onklaar worden gemaakt door handmatig de rootgebruiker in te schakelen in macOS. Door de rootgebruiker te voorzien van een wachtwoord, is het niet meer mogelijk om met een leeg wachtwoordveld in te loggen.

Apple heeft inmiddels gereageerd op de berichtgeving rondom het beveiligingslek. Het advies luidt vrijwel identiek aan de oplossing die we eerder in dit artikel beschreven:

“We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.”

Er werd niet gesproken over de update die het beveiligingslek zal dichten. Het is dus nog onduidelijk wanneer deze uitkomt.

Deel dit artikel
Voeg toe aan favorieten