Новий недолік безпеки Mac дозволяє вводити буквально будь-яке ім’я користувача та пароль, щоб розблокувати панель Mac App Store у системних налаштуваннях. На практиці це, мабуть, не велика справа - панель за замовчуванням розблокована, але той факт, що ця проблема взагалі існує, є тривожним нагадуванням про те, що Apple не надає пріоритет безпеці, як раніше.
ПОВ'ЯЗАНІ: Величезна помилка macOS дозволяє корінному входу без пароля. Ось виправлення
Зрозумів: технічні журналісти, як правило, втрачають розум, коли справа стосується Apple. Найменший недолік розмахують непереконливо, даючи ім'я, що закінчується на "ворота", а потім про нього забувають протягом місяця. На даний момент це звичайний цикл, і читачам важко розпізнати фактичні проблеми.
Трохи історії
Тож давайте швидко розглянемо. Ще в листопаді 2017 року помилка macOS дозволила будь-кому створити обліковий запис root без пароля у Системних налаштуваннях, просто ввівши “root” як ім’я користувача та створивши буквально будь-який пароль. Замість того, щоб відмовити вам у доступі, як це зробила б добре розроблена система, macOS High Sierra просто створити обліковий запис root використовуючи будь-який введений вами пароль.
Окрім того, що розум онімічно невпевнений, це химерна поведінка. Чому в світі, створюючи пароль root, створюється обліковий запис root із цілої тканини? Що відбувається в серверній панелі, що робить це можливим?
Важко уявити, саме тому це не був випадок, коли технічні журналісти перебільшували. Це було дуже, дуже погано.
І очищення після цієї помилки не викликало набагато більшої впевненості. Звичайно, Apple випустила виправлення, яке вирішило проблему, але багато користувачів в кінцевому підсумку відновили проблему, якщо встановили тижневе оновлення 10.13.1 після встановлення. Лише з випуском 10.13.2 проблема була повністю виправлена, і це було лише в грудні 2017 року.
Але принаймні на цьому все закінчилося. Правда?
Остання проблема
Не зовсім. Виявляється, у System Preferences є більше незрозумілих проблем із безпекою. Ви можете легко створити його в 10.13.2, якщо хочете пограти вдома, тому відкрийте вікно і приєднуйтесь до мене! Відкрийте Системні налаштування в обліковому записі адміністратора та перейдіть до App Store. Ви помітите, що замок внизу ліворуч відкритий за замовчуванням, тобто ви можете змінювати налаштування.
Я не впевнений, чому замок взагалі є, якщо він розблокований за замовчуванням, але все одно. Клацніть на замок, щоб «захистити» цю панель, а потім клацніть ще раз, щоб розблокувати. Ось фокус: ви можете ввести буквально будь-який бажаний пароль, і панель розблокується.
Те саме стосується імені користувача: ви можете помістити все, що завгодно, у це поле, і панель розблокується. Я набрав "Гаррі" як ім'я користувача та "німий" як пароль, і це спрацювало; так само, як "Джастін" і "це чудово".
Практично, це не становить особливої проблеми: знову ж таки, розглянута панель за замовчуванням не блокується, і розблокування цієї панелі не дає вам доступу до будь-якої іншої заблокованої панелі.
Проблема в тому, що ми не знаємо, чому це відбувається, і чи може помилка, яка дозволяє це, існувати деінде. Як і у випадку з попередньою помилкою, дивно, що цю проблему ніхто не виявив під час тестування, і це насправді змушує задуматися, наскільки ви можете довіряти macOS, щоб ваші дані були заблоковані.
ПОВ'ЯЗАНІ: Компанії, що займаються ПК, стають недбалими з безпекою
Ми впевнені, що оновлення зафіксує це, особливо зараз, коли ЗМІ піднімають галас. Але всупереч тому, що ви можете подумати, я не люблю підняти галасу. Я волів би, щоб речі були заблоковані. Apple повинна активізувати свою гру на фронті безпеки, оскільки подібні речі роблять враження, що вони навіть не звертають уваги.
