Czasami luki bezpieczeństwa w popularnych systemach i programach umykają uwagi testerów i użytkowników bo... są zbyt proste i oczywiste, by na nie wpaść. Tak właśnie jest w odkrytej dziś i ujawnionej luce w najnowszym systemie operacyjnym na komputery Apple czyli macOS w wersji High Sierra.
Na czym polega nowo odkryta luka?
Kilka słów wstępu: w systemach uniksopochodnych (a do nich należy i macOS), użytkownik nie powinien interaktywnie logować się na konto roota - administratora o najwyższych uprawnieniach. Oznacza to, że nie powinien on mieć możliwości zalogowania do konsoli, lub uruchomienia środowiska graficznego. Jak w takim razie uruchomić polecenia wymagające jego uprawnień? Poprzez delegację uprawnień. W linii poleceń jest to polecenie sudo - dzięki niemu, mając odpowiednie uprawnienia (jesteśmy członkiem odpowiedniej grupy), możemy podając własne hasło wykonać polecenie jako root. Natomiast w środowisku graficznym jesteśmy pytani o potwierdzenie hasła i użytkownika.
W macOS dzieje się tak, gdy np. odblokowujemy ważne ustawienia: np. ustawienia sieci, szyfrowania plików, czy programów uruchamianych przy logowaniu. Jest to znana użytkownikom macOS "kłódka" - aby ją otworzyć musimy podać hasło.
I właśnie w tym pytaniu o hasło po kliknięciu kłódki odkryto poważną lukę bezpieczeńtwa.
Jest ona tak banalna, że aż dziw, iż nikt na nią nie wpadł wcześniej. Tym bardziej dziwne, że nie wykryli jej testerzy. Otóż wystarczy w miejscu na nazwę użytkownika wpisać root, zaś miejsce na hasło pozostawić puste. Tę czynność należy powtórzyć kilka razy: za którymś razem kłódka zostaje odblokowana.
Jako pierwszy podał informację na ten temat na Twitterze programista z Turcji Lemi Orhan Levin:
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 listopada 2017
Sprawdziliśmy to na dwóch redakcyjnych komputerach, zaktualizowanych do najnowszej wersji macOS High Sierra 10.13.1. Faktycznie: zadziałało i odblokował on ustawienia.
Czym grozi luka root w macOS High Sierra?
Przede wszystkim każdy, kto uzyska fizyczny dostęp do naszego odblokowanego komputera, będzie w stanie zmienić jego ustawienia. Może sobie udostępnić katalog z naszymi dokumentami w sieci, lub założyć nowe konto użytkownika. Założę się, że szybko byśmy tego nie zauważyli.
Potwierdziliśmy za to, że zalogowanie w ten sposób nie działa w żaden sposób w oknie terminala - w każdym razie nam się nie udało tego zrobić.
Jak zabezpieczyć swój system?
Na szczęście, dopóki Apple nie wypuści odpowiedniej "łatki" zabezpieczającej system, możemy w łatwy sposób zabezpieczyć nasz komputer przed atakiem tego typu. Wystarczy ustawić ręcznie hasło użytkownikowi root. Oto jak to zrobić.
- Uruchamiamy program Terminal
- Wpisujemy
sudo passwd -u root
- Zostaniemy zapytani o nasze hasło - wpisujemy je.
- Następnie podajemy hasło dla użytkownika root
I tyle wystarczy, aby wyłączyć tego typu atak - co również z powodzeniem zweryfikowaliśmy na komputerze z High Sierra w wersji 10.13.1. Natomiast na komputerze z wersją beta (10.13.2) systemu, problemu nie udało się w ogóle zreprodukować, co pozwala sądzić, że przy najbliższej aktualizacji macOS High Sierra problem zostanie wyeliminowany.
Radzimy jednak zapobiegawczo ustawić to hasło każdemu posiadaczowi Maca macOS Sierra na pokładzie - jego ustawienie nie ma konsekwencji w codziennym użytkowaniu komputera, a jak widać, może zabezpieczyć przed sporym zagrożeniem.
AKTUALIZACJA 23:30 - Jest oficjalne stanowisko Apple
Przedstawiciel Apple udzielił oficjalnego komentarza serwisowi BuzzFeed. Redaktor serwisu, John Paczkowski, zamieścił treść oświadczenia na swoim Twitterze:
https://twitter.com/JohnPaczkowski/status/935635283546013701
W dużym skrócie - Apple radzi to samo, co my w powyższym tekście: do czasu załatania luki koniecznie ustawcie hasło użytkownika root.
Potężna wpadka Apple - każdy może zmienić ustawienia twojego Maca