苹果公司最新的macOS系统出现严重漏洞,用户仅输入“root”作为用户名即可进入系统,这意味着你不需要密码即可解锁进入一台安装了macOS
High Sierra系统的苹果电脑。用户只需进入“系统偏好”设置,选择“用户和组”,点击解锁按钮,这时会弹出一个提示框要求输入用户名和密码才能变更设置。接下来,只需在用户名一栏中输入“root”,密码不用填,多次点击解锁后即可成功进入系统。 这一漏洞其实不是有意而为之,应该实属负责这部分的程序员(也可能是实习生)脑子进水——因为,mac OS 里其实隐藏了一个最高权限的账户,用户名就是 root,是留给苹果维修人员和 IT 人士的,一般用户不会看到。而今天这个漏洞的情况,应该是苹果自动打开了该账户,留了空的密码,还没告诉用户。(文末有补上漏洞的教程) 它如何影响用户?比如说你正在电脑上做一份机密文件,中午锁屏/睡眠/关机去吃饭,别人可以开机并直接登陆你的电脑。注意,root 是 macOS 里最高的权限,就算你的电脑有不同分区,理论上坏人登陆进去后所有文件都能一览无遗。 再复杂一点。如果你曾经开过屏幕共享,或者让公司 IT 远程控制给你修过电脑的话——你的远程控制端口是开着的。这意味着坏人可以远程登陆你的电脑。 苹果在11月30日凌晨更新了一个补丁修复了这个漏洞,对安全敏感的用户建议立刻更新。 |