Vulnerabilitate pe macOS High Sierra. Utilizator root fara parola

Ieri twitterul s-a inrosit cand a fost anuntat Apple despre vulnerabilitatea unui utilizator root fara parola pe ultimul sistem de operare macOS High Sierra.

Nu stiu cati dintre voi ati folosit solutia de jailbreak cu SSH, insa si acolo, userul root (adica administratorul) putea avea acces la toate informatiile de pe iPhone folosind parola admin sau password acestea fiind by default.

Partea nasoala la aceasta vulnerabilitate pe macOS este ca putea fi utilizata la distanta prin VPN/Remote Desktop sau Sharing. Orice utiliza userul root avea acces la toate informatiile sistemului si putea face ce vroia el 🙂

Nu in toate cazurile functiona acest mic hack. Probabil unul din ingineri a uitat sa seteze parola default de root.

Majoritate celor care folosesc Terminal isi schimba parola atunci cand instaleaza sistemul, cei care sunt utilizatori standard de macOS, nu au de ce sa isi faca probleme.

Nu fiti panicati că pierdeti esenta

Aceasta vulnerabilitate se putea utiliza doar atunci CAND UN UTILIZATOR ESTE LOGAT PE MacBook, daca Macbook-ul este inchis, nu functioneaza. Daca nu treceti de login screen, nu functioneaza, daca nu aveti un Macbook nu functioneaza. Terminati cu conspiratiile!

Ca sa puteti folosi utilizatorul root trebuie sa mergeti in System Preferences > Users & Groups > click pe Lacat si apoi introduceti root si aveti acces la toate opțiunile!

Cum schimbi parola la root

1. Alegi Apple menu > System Preferences > Users & Groups (or Accounts).
2. Click , introduci un administrator cu user si parola.
3. Click Login Options.
4. Click Join (sau Edit).
5. Click Open Directory Utility.
6. Click  pe fereastra Directory Utility, apoi introduci un administrator cu user si parola.
7. Din bara de meniu in fereastra Directory Utility, alegi Edit > Change Root Password…
8. Introduci o parola pentru userul root.