Puh, ganz ehrlich Apple, hierfür gibt es nicht den Hauch einer Entschuldigug. Der Entwickler Lemi Ergin, hat einen extrem schwerwiegenden Bug in macOS High Sierra entdeckt. So kann sich jeder, wirklich jeder an einem gesperrten Mac anmelden oder auf den Administrator-Account eines entsperrten Mac zugreifen. Hierzu genügt es, sich mit dem Benutzernamen "root" und ohne Passwort zu authentifizieren. Ich persönlich kann dieses Verhalten in der Tat auf meinen MacBooks unter macOS High Sierra nachstellen. Hier die Vorgehensweise:
- Systemeinstellungen öffnen
- In den Bereich "Benutzer & Gruppen" navigieren
- Auf das Schloss-Symbol unten links klicken
- Als Benutzernamen "root" eingeben
- In das Passwort-Feld klicken, jedoch nichts eingeben
- Auf "Schutz aufheben" klicken - Voilá!
Auf dieselbe Art und Weise kann man sich auch auf dem Login-Screen des Mac anmelden und erhält anschließend kompletten Zugriff auf das System und kann sämtliche Daten einsehen. Der Bug ist also mehr als nur kritisch und Apple sollte hoffentlich extrem schnell ein behebendes Update veröffentlichen.
Bis dahin lohnt der Blick in ein Support-Dokument, in dem Apple das Aktivieren des eigentlich inaktiven root-Users beschreibt. Auf diese Weise lässt sich dieser mit einem Passwort versehen, was die oben beschriebene Vorgehensweise verhindert. Konkret sind dafür die folgenden Schritte notwendig:
- Systemeinstellungen öffnen
- In den Bereich "Benutzer & Gruppen" navigieren
- Auf das Schloss-Symbol unten links klicken
- Sich mit einem Administrator-Account authentifizieren
- Auf Anmeldeoptionen klicken
- Auf die Schaltfläche "Verbinden" neben "Netzwerkaccount-Server" klicken
- Auf "Verzeichnisdienste öffnen..." klicken
- Auf das Schloss-Symbol unten links klicken
- In der Menüleiste des Mac den Menüpunkt "Bearbeiten -> root-Passwort ändern" auswählen
- Gewünschtes Passwort eingeben und speichern