macOS 大漏洞!不用密碼即可登入、取得管理員權限

Mac用帳號密碼鎖住之後,就真的安全了嗎?開發者 Lemi Ergin 在 macOS High Sierra 中發現了一個重大的安全性漏洞,讓任何人不需要有你的帳號密碼,就可以直接取得 Mac 的權限。

不需要輸入密碼就能取得管理員權限的作法意外的簡單。只要在輸入帳號的欄位中打 root,密碼欄空著,按下確定,就可以成功登入並獲得 Mac 管理員權限;如果 Mac 鎖定了,也可以在登入頁面中取得管理員權限。


儘管你使用訪客帳戶,只要到系統偏好設定,進入用戶設定中,點一下左下角的鎖頭,在帳號欄位中輸入:root,並將密碼欄位留白後登入就可以取得權限。在系統登入頁面中,也可以用這種方式達成並登入。目前這個漏洞僅在 High Sierra 中可以使用,包括現行的 macOS High Sierra 10.13.1 以及 10.13.2 都有這個問題。

根據MacRumors消息表示,蘋果已經意識到這個漏洞,將會很快的釋出更新修復。但在更新釋出之前,蘋果建議用戶可以先自行設定 root 帳號的密碼,這樣就可以阻止上述漏洞的發生。

如何變更 root 密碼?

根據官網教學,請依照以下步驟:

  1. 選擇「蘋果」選單()>「系統偏好設定」,然後按一下「使用者與群組」(或「帳號」)。
  2. 按一下 鎖頭圖像,然後輸入管理者名稱和密碼。
  3. 按一下「登入選項」。
  4. 按一下「加入」(或「編輯」)。
  5. 按一下「打開目錄工具程式」。
  6. 按一下「目錄工具程式」中的 鎖頭圖像,然後輸入管理者名稱和密碼。
  7. 在「目錄工具程式」的選單列中:
    • 選擇「編輯」>「啟用 Root 使用者」,然後輸入您為 root 使用者選擇的密碼。
    • 或選擇「編輯」>「停用 Root 使用者」。