Nowa luka w zabezpieczeniach komputerów Mac pozwala wpisać dosłownie dowolną nazwę użytkownika i hasło w celu odblokowania panelu Mac App Store w Preferencjach systemowych. Praktycznie rzecz biorąc, prawdopodobnie nie jest to wielka sprawa – panel jest domyślnie odblokowany – ale fakt, że ten problem w ogóle istnieje, jest niepokojącym przypomnieniem, że Apple nie traktuje priorytetowo bezpieczeństwa, jak kiedyś.
Rozumiem: dziennikarze technologiczni tracą rozum, jeśli chodzi o Apple. Najmniejsza wada jest nie do uwierzenia, nadawana nazwie kończącej się na „brama”, a następnie zapominana w ciągu miesiąca. W tym momencie jest to regularny cykl i utrudnia czytelnikom rozpoznanie rzeczywistych problemów.
Trochę historii
Przyjrzyjmy się więc szybko. W listopadzie 2017 r. Błąd systemu macOS pozwalał każdemu utworzyć konto root bez hasła w Preferencjach systemowych, po prostu wpisując „root” jako nazwę użytkownika i tworząc dosłownie dowolne hasło. Zamiast odmawiać ci dostępu, tak jak zrobiłby to dobrze zaprojektowany system, macOS High Sierra po prostu utwórz konto root używając dowolnego wprowadzonego hasła.
Oprócz tego, że umysł jest paraliżująco niepewny, jest to dziwaczne zachowanie. Dlaczego na świecie wymyślenie hasła roota miałoby stworzyć konto roota z całej tkaniny? Co dzieje się w backendzie, co sprawia, że jest to możliwe?
Trudno to sobie wyobrazić, dlatego nie był to przypadek dziennikarzy technicznych z przesadą. To było naprawdę złe.
A sprzątanie po tym błędzie nie wzbudziło większego zaufania. Jasne, firma Apple wydała łatkę, która naprawiła problem, ale wielu użytkowników ponownie wprowadziło problem, jeśli po zainstalowaniu zainstalowali tygodniową aktualizację 10.13.1. Dopiero wraz z wydaniem 10.13.2 problem został w pełni naprawiony, i to dopiero w grudniu 2017 roku.
Ale przynajmniej na tym się skończył. Dobrze?
Najnowszy problem
Nie do końca. Okazuje się, że w Preferencjach systemowych jest więcej niewytłumaczalnych problemów z bezpieczeństwem. Możesz łatwo odtworzyć to w 10.13.2, jeśli chcesz bawić się w domu, więc otwórz okno i dołącz do mnie! Otwórz Preferencje systemowe na koncie administratora, a następnie przejdź do App Store. Zauważysz, że blokada w lewym dolnym rogu jest domyślnie otwarta, co oznacza, że możesz swobodnie zmieniać ustawienia.
Nie jestem pewien, dlaczego zamek w ogóle tam jest, jeśli jest domyślnie odblokowany, ale nieważne. Kliknij blokadę, aby „zabezpieczyć” ten panel, a następnie kliknij go ponownie, aby go odblokować. Oto sztuczka: możesz wpisać dosłownie dowolne hasło, a panel się odblokuje.
To samo dotyczy nazwy użytkownika: możesz umieścić w tym polu wszystko, co chcesz, a panel się odblokuje. Wpisałem „Harry” jako nazwę użytkownika i „jest głupi” jako hasło i zadziałało; podobnie jak „Justin” i „jest niesamowity”.
Praktycznie nie stanowi to większego problemu: ponownie, dany panel nie jest domyślnie zablokowany, a odblokowanie tego panelu nie daje dostępu do żadnego innego zablokowanego panelu.
Problem polega na tym, że nie wiemy, dlaczego tak się dzieje i czy błąd, który na to pozwala, może istnieć gdzie indziej. Podobnie jak w przypadku wcześniejszego błędu, niesamowite jest to, że nikt nie wykrył tego problemu podczas testowania i naprawdę zastanawiasz się, jak bardzo możesz ufać systemowi macOS w zakresie blokowania danych.
Jesteśmy pewni, że aktualizacja to naprawi, zwłaszcza teraz, gdy media robią zamieszanie. Ale wbrew temu, co myślisz, nie lubię robić zamieszania. Wolałbym, żeby rzeczy były zamknięte. Apple musi przyspieszyć swoją grę na froncie bezpieczeństwa, ponieważ takie rzeczy sprawiają, że wydaje się, że nawet nie zwracają na to uwagi.