root 帳號是 UNIX 型系統的最高權限帳戶,可以控制整個系統,所以一般很少會直接使用這個帳戶來工作。本來在 macOS 裡,大家是很少機會踫到這個帳戶,不過最近就有人發現 macOS 的最新版本 High Sierra 裡,竟然可以讓人在不用輸入密碼的情況下,以 root 帳戶登入!這真是天大的漏洞!
土耳其的軟件開發人 Lemi Orhan Ergin 在 Twitter 公布他這個驚人發現。他指出 Mac 機用戶的電腦如果已升級到 High Sierra 的話,只要開啟「系統偏好設定>用戶與群組」然後按一下視窗左下角用來解鎖高級設定的小鎖頭,在彈出來的密碼視窗的 User name 輸入「 root 」 ,移至 Password 欄後按「 Unlock 」鍵,就會發現竟然可以在沒有輸入密碼的情況下,以 root 帳戶解鎖!
我們都測試過有關的方法,證實是可行的。而美國保安機構 SANS Internet Storm Center 的研究人員就估計, Apple 在 High Sierra 裡提供的 root 帳戶,可能是沒有設定任何密碼的!這會對所有使用 High Sierra 的用戶構成重大風險,實在想不到 Apple 會犯上這種低級錯誤。
設定 root 密碼保平安
現時未知有關漏洞是否僅在 High Sierra 上發生,還是其他版本的 macOS 也受影響,雖然官方未公布任何修補方案,但為保障自己,大家還是盡快按照以下步驟來設定 root 帳號的密碼吧。
- 開啟「終端機」
- 在終端機視窗輸入指令「sudo passwd root」
- 輸入自己的登入密碼
- 設定 root 的密碼,並將該密碼記下來以備將來需要