ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

کشف آسیب پذیری عجیب در مک او اس: دسترسی ادمین بدون نیاز به رمز عبور

به تازگی حفره امنیتی عجیبی در سیستم عامل مک او اس های سیرا (macOS High Sierra) کشف شده که به هر فردی اجازه می دهد در صورت دسترسی فیزیکی به مک، بدون نیاز به وارد ...

حمید مقدسی
نوشته شده توسط حمید مقدسی | ۸ آذر ۱۳۹۶ | ۰۹:۳۱

به تازگی حفره امنیتی عجیبی در سیستم عامل مک او اس های سیرا (macOS High Sierra) کشف شده که به هر فردی اجازه می دهد در صورت دسترسی فیزیکی به مک، بدون نیاز به وارد کردن پسورد به عنوان مدیر (ادمین) وارد سیستم شود.

پس از انتشار این خبر، اپل اعلام کرد که آپدیت نرم افزاری برای رفع این مشکل را در دست تهیه دارد، ضمن اینکه راهنمای گام به گام برای محافظت کامپیوتر کاربران در مقابل این دسترسی غیر مجاز را هم ارائه نمود.

این آسیب پذیری دیروز برای اولین بار از طریق شبکه اجتماعی توییتر فاش شد و مشخص نیست آیا پیش از اعلام عمومی، اپل نسبت به آن آگاهی یافته یا خیر. سوء استفاده از این حفره امنیتی به قدری ساده است که دانش فنی خاصی را نیاز ندارد، اما فقط در نسخه «های سیرا» دیده می شود و مک او اس های قبلی را تحت تأثیر قرار نداده است.

مک او اس سیرا و نسخه های قدیمی تر این مشکل را ندارند

حتی جدیدترین نسخه این سیستم عامل یعنی 10.13.1 هم با این مشکل مواجه است و کاربر می تواند به عنوان ادمین وارد سیستم شود و کنترل آن را در دست بگیرد، تمامی فایل ها را مشاهده کند و حتی رمز عبور دیگر کاربران را هم تغییر دهد. امکان حذف آدرس ایمیل مرتبط با اپل آیدی نیز وجود دارد. مطمئناً هکرها همین حالا راه های متعددی برای سوء استفاده از این آسیب پذیری عجیب و غریب پیدا کرده اند.

برای اجرای این هَک کافیست به بخش «تنظیمات سیستم» (System Preferences) و قسمت «کاربران و گروه ها» (Users & Groups) رفته، به جای نام کاربری عبارت «root» را وارد کنید و فیلد رمز عبور را خالی بگذارید ... به همین سادگی.

نکته جالب دیگر اینجاست که ظاهراً حدود 15 روز قبل یکی از کاربران در انجمن توسعه دهندگان اپل این آسیب پذیری را افشا کرده اما مورد توجه واقع نشده بود.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (10 مورد)
  • nhho
    nhho | ۸ آذر ۱۳۹۶

    به این مگین امنیت اپلی:/

  • Sav
    Sav | ۸ آذر ۱۳۹۶

    البته توجه بشه که برای ورود به System preferences و اجرای هک، هکر باید به سیستم لاگین‌شده دسترسی داشته باشه. که سه صورت داره:
    ۱- رمز اکانت رو داشته باشه که بتونه وارد شه: که تحصیل حاصل میشه و هک معنا پیدا نمی‌کنه. چون کسی که پسوورد ادمین رو داره، دیگه نیازی به هک نداره.
    ۲- صاحب دستگاه لاگین کنه و قبل از لاگ اوت شدن، دستگاه دست هکر بیوفته.
    ——
    به هر صورت باگ فاجعه‌ای هست، اما واقعا لازم نیست یجور فاجعه‌تری نمایشش بدید. صرف دسترسی فیزیکی، راه هک رو باز نمی‌کنه. دسترسی فیزیکی به دستگاه لاگین‌شده(لاگین به اکانت ادمین، نه اکانت مهمان) راه هک رو باز می‌کنه.

    • darksider
      darksider | ۸ آذر ۱۳۹۶

      اره بمال حسابی بمال و ماله کشی کن کاش اقلا یه پولی از اپل گیرت میومد برای این ماله کشیا

      • Sav
        Sav | ۸ آذر ۱۳۹۶

        دو حالت هست:
        ۱- چیزی که من گفتم غلطه و ورود به system prefrences نیاز به لاگین کردن نداره، که اونوقت حق با شماست و من دارم ماله میکشم.
        ۲- من درست گفتم و قضیه به اون وخامتی که دیجیاتو نشون داده نیست. اونوقت شما واجد چه وصفی میشی؟؟ البته من اون وصفو نمیگم، شما خودت خوب فکر کن و یه اسمی روی خودت بذار.

        • mohsen-unique
          mohsen-unique | ۸ آذر ۱۳۹۶

          عزیز من توی همون صفحه ی ورود شما روی other user بزنی و یوزر رو root و پسورد رو خالی بزنی هم میتونی وارد بشی پس حرف الکی نزن

          • Sav
            Sav | ۸ آذر ۱۳۹۶

            روش هک از وبسایت مک‌رومرز:
            1. Open System Preferences
            2. Choose Users & Groups
            3. Click the lock to make changes
            4. Type "root" in the username field
            5. Move the mouse to the Password field and click there, but leave it blank
            6. Click unlock, and it should allow you full access to add a new administrator account.

            همه می‌گن اول باید system prefrences باز بشه که یعنی یوزر باید لاگین کرده باشه.
            خلاصه که روش هک مشخص هست. البته مشخصه که دوست دارید روش هک رو به صورت دلخواهتون تغییر بدید. ولی با تغییر دادن روش هک در ذهنتون، تفاوتی در روش هک در واقعیت ایجاد نمی‌شه.

          • mohsen-unique
            mohsen-unique | ۸ آذر ۱۳۹۶

            عزیز من میگم خودم مک دارم و تست کردم چرا توهم داری که میخوایم سیاه نمایی کنیم. بحث با افرادی که هیچ فهم و درکی از این مسئله ندارن فایده نداره خود شما کلا مک نداری پس الکی حرف نزن

          • Sav
            Sav | ۸ آذر ۱۳۹۶

            باشه شما مک داری و من هم ندارم :-))
            پس بذار برات روشن کنم. اگه توی بخش اکانت‌ها میزنی root و بدون پسوورد وارد میشی، یعنی این‌که سوپریوزر root به وسیله هک مذکور قبلا فعال شده. یعنی سیستمت قبلا هک شده.
            لذا یا خودت قبلا این روش هک رو روی سیستمت تست کردی، یا خودت قربانی همین هک هستی.

          • mohsen-unique
            mohsen-unique | ۹ آذر ۱۳۹۶

            برو بابا بحثی با شما ندارم

          • mohammad ghorbani
            mohammad ghorbani | ۹ آذر ۱۳۹۶

            من ورژنم 10.12.6 هست، دقیقا به همین ترتیب که نوشتی تست کردم و چیزی باز نشد!!! حتی توی خبر امروز خوندم آپدیت اومده براش، که چک کردم هیچ نیمده! عملا کذب هستش این خبر! چون اپل صد نوع سیستم عامل هم نمیزنه، وقتی برای من این ایراد نبود بعید میدونم برای کس دیگه هم این ایراد باشه

مطالب پیشنهادی