Кажется, Apple забыла закрыть одну маленькую, но серьезную «брешь». Любой может стать администратором в macOS High Sierra без ввода пароля.
Как это работает
Любой пользователь может стать «суперпользователем». У него есть права на внесение любых изменений в настройки компьютера.
Работает схема просто. В разделе Системные настройки —> Пользователи и группы нажмите на значок замочка. У вас запросят логин и пароль, необходимо ввести root (имя пользователя) и оставить пустой графу Пароль.
После этого несколько раз нажимаем «Ввод», и всё. У вас права владельца системы.
Пользователь Twitter под ником @lemiorham отметил, что уязвимость доступна даже в последней бета-версии macOS High Sierra.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Работает данная фишка только в интерфейсе операционной системы. В Терминале за root не получится залогиниться.
Как этого избежать
Решение проблемы такое же простое, как и её появление. Необходимо установить пароль на учётную запись root.
Шаг 1. Перейдите в меню Системные настройки —> Пользователи и группы.
Шаг 2. Щёлкните по значку замка, введите имя и пароль администратора.
Шаг 3. Нажмите Параметры входа —> Подключить (или Изменить).
Шаг 4. Выберите Открыть Службу каталогов.
Шаг 5. Щелкните значок замка в окне Служба каталогов, повторно введите имя и пароль администратора.
Действия в строке меню Службы каталогов:
Выберите Правка —> Включить корневого пользователя и введите пароль для юзера root.
В этом же разделе пользователя root можно отключить.
Есть и второе решение. Набираем в Терминале команду sudo passwd root и вводим пароль для суперпользователя.
Проверил у себя на MBP2017 и на MBP2015 (оба на 10.13.1) не срабатывает, так что похоже на вброс.
Да и вообще это был бы немыслимый фейл.
@Mihael Isaev, не так проверил. Когда написал root, нужно долбить кнопку Enter. Через секунды полторы две все сработает
@boshlin, и правда! сработало! жесть какая!!!
@Mihael Isaev, то же самое, нифига не срабатывает.