En ny Mac-sikkerhetsfeil lar deg skrive bokstavelig talt ethvert brukernavn og passord for å låse opp Mac App Store-panelet i Systemvalg. Det er sannsynligvis ikke noe stort praktisk - panelet er ulåst som standard - men det faktum at dette problemet i det hele tatt eksisterer, er en bekymringsfull påminnelse om at Apple ikke prioriterer sikkerhet slik de pleide å gjøre.
I SLEKT: Stor macOS-feil tillater root-pålogging uten passord. Her er løsningen
Jeg skjønner det: tekniske journalister har en tendens til å miste tankene når det gjelder Apple. Den minste feil er hyped utover tro, gitt et navn som slutter på "gate", og deretter glemt i løpet av en måned. Det er en vanlig syklus på dette tidspunktet, og det gjør det vanskelig for leserne å gjenkjenne faktiske problemer.
Litt historie
Så la oss gjennomgå raskt. Tilbake i november 2017 la en macOS-feil noen opprette en rotkonto uten passord i Systemvalg bare ved å skrive “root” som brukernavnet og gjøre opp bokstavelig talt hvilket som helst passord. I stedet for å nekte deg tilgang, som et godt designet system ville, ville macOS High Sierra bare opprette en rotkonto ved hjelp av passordet du skrev inn.
I tillegg til å være sinnsløs, usikker, er dette bisarr oppførsel. Hvorfor i all verden ville det å lage et rotpassord opprette en rotkonto av hele kluten? Hva skjer i backend som gjør det mulig?
Det er vanskelig å forestille seg, og det var derfor dette ikke dreide seg om overdrivelse av tekniske journalister. Det var veldig, veldig ille.
Og oppryddingen etter den feilen inspirerte ikke mye mer selvtillit. Visst, Apple utstedte en oppdatering som løste problemet, men mange brukere endte med å gjeninnføre problemet hvis de installerte den uke gamle 10.13.1-oppdateringen etter installasjonen. Først med utgivelsen av 10.13.2 ble problemet løst fullt ut, og det var først i desember 2017.
Men i det minste var det slutten på det. Ikke sant?
Det siste problemet
Ikke helt. Det viser seg at det er mer uforklarlige sikkerhetsproblemer i Systemvalg. Du kan lage denne enkelt på nytt i 10.13.2 hvis du vil spille sammen hjemme, så åpne et vindu og bli med meg! Åpne Systemvalg i en administratorkonto, og gå deretter til App Store. Du vil merke at låsen nederst til venstre er åpen som standard, noe som betyr at du er fri til å endre innstillinger.
Jeg er ikke sikker på hvorfor låsen i det hele tatt er hvis den er låst opp som standard, men hva som helst. Klikk på låsen for å "sikre" dette panelet, og klikk deretter på det igjen for å låse opp det. Her er trikset: du kan skrive bokstavelig talt hvilket som helst passord du vil, og panelet vil låse opp.
Det samme gjelder brukernavnet: du kan plassere hva du vil i det feltet, og panelet vil låse opp. Jeg skrev "Harry" som brukernavn og "er dumt" som passord og det fungerte; det gjorde også "Justin" og "er kjempebra."
Dette er praktisk talt ikke så mye et problem: igjen, panelet i spørsmålet er ikke låst som standard, og å låse opp dette panelet gir deg ikke tilgang til noe annet låst panel.
Problemet er at vi ikke vet hvorfor dette skjer, og om feilen som tillater det kan eksistere andre steder. Som med den tidligere feilen, er det utrolig at ingen fikk dette problemet under testing, og det får deg virkelig til å lure på hvor mye du kan stole på macOS for å holde dataene låst.
I SLEKT: PC-selskaper blir slurvete med sikkerhet
Vi er sikre på at en oppdatering vil lappe dette opp, spesielt nå som media gjør oppstyr. Men i motsetning til hva du kanskje tror, liker jeg ikke å gjøre noe oppstyr. Jeg vil helst at ting blir låst. Apple må øke spillet sitt på sikkerhetsfronten, fordi ting som dette får det til å virke som om de ikke en gang tar hensyn.
