Lijkt Apple zelfs aandacht te besteden aan macOS-beveiliging?
Met een nieuwe Mac-beveiligingsfout kun je letterlijk elke gebruikersnaam en wachtwoord typen om het Mac App Store-paneel te ontgrendelen in Systeemvoorkeuren. Het is waarschijnlijk praktisch gezien geen groot probleem - het paneel is standaard ontgrendeld, maar het feit dat dit probleem überhaupt bestaat, is een verontrustende herinnering dat Apple geen prioriteit geeft aan beveiliging zoals vroeger.
Ik snap het: tech-journalisten hebben de neiging om hun verstand te verliezen als het op Apple aankomt. De geringste fout is bovenmatig verhuld, gegeven een naam die eindigt op 'poort' en dan binnen een maand vergeten is. Het is een normale cyclus op dit punt en het maakt het moeilijk voor lezers om actuele problemen te herkennen.
Een beetje geschiedenis
Laten we het dus snel herzien. Terug in november 2017 liet een macOS-bug iedereen in staat stellen een root-account te maken zonder wachtwoord in Systeemvoorkeuren door eenvoudigweg "root" als gebruikersnaam in te voeren en letterlijk elk wachtwoord in te stellen. In plaats van je toegang te ontzeggen, zou macOS High Sierra het gewoon goed doen, zoals een goed ontworpen systeem maak een root-account aan met behulp van het wachtwoord dat u hebt ingevoerd.
Dit is niet alleen geestverlammend onzeker, maar ook bizar gedrag. Waarom zou in de wereld een rootwachtwoord worden gemaakt om een root-account te maken met hele stoffen? Wat er gebeurt in de backend maakt dat mogelijk?
Het is moeilijk voor te stellen, daarom was dit geen geval van overdreven overdrijving van journalisten. Het was echt heel erg slecht.
En de opruiming na die fout heeft niet veel meer vertrouwen gewekt. Tuurlijk, Apple heeft een patch uitgegeven die het probleem heeft opgelost, maar veel gebruikers eindigden met het opnieuw introduceren van het probleem als ze de weekoude 10.13.1-update na installatie installeerden. Pas met de release van 10.13.2 was het probleem volledig opgelost en dat was pas in december 2017.
Maar dat was tenminste het einde. Rechts?
Het nieuwste probleem
Niet helemaal. Het blijkt dat er meer onverklaarbare beveiligingsproblemen zijn in Systeemvoorkeuren. Je kunt deze gemakkelijk opnieuw aanmaken in 10.13.2 als je thuis mee wilt spelen, dus open een raam en ga met me mee! Open Systeemvoorkeuren in een beheerdersaccount en ga vervolgens naar de App Store. U zult merken dat de vergrendeling linksonder standaard open is, wat betekent dat u de instellingen kunt wijzigen.
Ik weet niet zeker waarom het slot er helemaal is als het standaard is ontgrendeld, maar wat dan ook. Klik op de vergrendeling om dit paneel te "beveiligen" en klik er vervolgens opnieuw op om het te ontgrendelen. Dit is de kunst: je kunt letterlijk elk wachtwoord typen dat je wilt en het paneel ontgrendelt.
Hetzelfde geldt voor de gebruikersnaam: je kunt alles in dat veld plaatsen en het paneel wordt ontgrendeld. Ik typte "Harry" als de gebruikersnaam en "is dom" als het wachtwoord en het werkte; dat deed "Justin" en "is geweldig".
Praktisch gezien is dit niet echt een probleem: opnieuw is het betreffende paneel niet standaard vergrendeld en ontgrendelen van dit paneel geeft je geen toegang tot enig ander gesloten paneel.
Het probleem is dat we niet weten waarom dit gebeurt en of de bug die dit toestaat elders kan voorkomen. Net als bij de eerdere bug, is het verbazingwekkend dat niemand dit probleem bij het testen heeft opgelopen, en het maakt je echt af hoe veel je kunt vertrouwen met macOS om je gegevens op slot te houden.
We weten zeker dat een update dit oplost, vooral nu de media ophef maken. Maar in tegenstelling tot wat je misschien denkt, hou ik er niet van om ophef te maken. Ik heb liever dat dingen worden opgesloten. Apple moet zijn spel op het gebied van beveiliging verbeteren, omdat dit soort dingen ervoor zorgen dat het lijkt alsof ze niet eens opletten.