Czy Apple jeszcze zwraca uwagę na bezpieczeństwo w systemie MacOS?
Nowa luka w zabezpieczeniach Mac pozwala wpisać dosłownie dowolną nazwę użytkownika i hasło w celu odblokowania panelu Mac App Store w Preferencjach systemowych. Prawdopodobnie nie jest to duża rzecz - panel jest domyślnie odblokowany - ale fakt, że ten problem w ogóle istnieje, jest niepokojącym przypomnieniem, że Apple nie nadaje priorytetu bezpieczeństwu, tak jak kiedyś..
Rozumiem: dziennikarze techniczni często tracą głowę, jeśli chodzi o Apple. Najmniejsza skaza jest wzbudzana ponad przekonanie, zważywszy na nazwę kończącą się na "bramce", a następnie zapomniana w ciągu miesiąca. W tym momencie jest to regularny cykl, który utrudnia czytelnikom rozpoznanie rzeczywistych problemów.
Trochę historii
Zobaczmy więc szybko. W listopadzie 2017 r. Błąd macOS pozwolił każdemu utworzyć konto root bez hasła w Preferencjach systemowych, po prostu wpisując "root" jako nazwę użytkownika i tworząc dosłownie dowolne hasło. Zamiast odmawiać dostępu, jak dobrze zaprojektowany system, MacOS High Sierra byłby po prostu utwórz konto root używając dowolnego hasła, które podałeś.
Oprócz tego, że umysł jest zdrętwiały i niepewny, jest to dziwne zachowanie. Dlaczego na świecie wymyślasz hasło roota, stworzysz konto roota z całego materiału? Co dzieje się w backendach, które to umożliwia?
Trudno to sobie wyobrazić, dlatego nie było to przesadne wyolbrzymienie dziennikarzy technicznych. To było naprawdę, naprawdę złe.
Oczyszczenie po tym błędzie nie wzbudziło większego zaufania. Pewnie, Apple wydało poprawkę, która naprawiła problem, ale wielu użytkowników w końcu ponownie wprowadziło problem, jeśli zainstalowali tygodniową aktualizację 10.13.1 po instalacji. Dopiero po wydaniu wersji 10.13.2 problem został w pełni rozwiązany, a do grudnia 2017 r.
Ale przynajmniej na tym koniec. Dobrze?
Ostatni problem
Nie do końca. Okazuje się, że w Preferencjach systemowych występują bardziej niewytłumaczalne problemy z zabezpieczeniami. Możesz go odtworzyć ponownie w 10.13.2, jeśli chcesz grać w domu, otwórz okno i dołącz do mnie! Otwórz Preferencje systemowe na koncie administratora, a następnie przejdź do App Store. Zauważysz, że blokada w dolnym lewym rogu jest domyślnie otwarta, co oznacza, że możesz zmienić ustawienia.
Nie jestem pewien, dlaczego zamek jest w ogóle, jeśli jest domyślnie odblokowany, ale cokolwiek. Kliknij blokadę, aby "zabezpieczyć" ten panel, a następnie kliknij ponownie, aby go odblokować. Oto sztuczka: możesz dosłownie wpisać dowolne hasło, a panel odblokuje się.
To samo dotyczy nazwy użytkownika: możesz umieścić wszystko, co chcesz w tym polu, a panel odblokuje się. Napisałem "Harry" jako nazwę użytkownika i "jest głupie" jako hasło i zadziałało; podobnie jak "Justin" i "jest niesamowity".
W praktyce nie stanowi to większego problemu: ponownie, dany panel nie jest domyślnie zablokowany, a odblokowanie tego panelu nie daje dostępu do żadnego innego zablokowanego panelu.
Problem polega na tym, że nie wiemy, dlaczego tak się dzieje i czy błąd, który na to pozwala, może istnieć gdzie indziej. Podobnie jak w przypadku wcześniejszego błędu, jest niesamowite, że nikt nie wykrył tego problemu podczas testowania i naprawdę zastanawia się, ile można ufać systemowi macOS, aby zablokować dane.
Jesteśmy pewni, że aktualizacja to poprawi, zwłaszcza teraz, gdy media robią zamieszanie. Ale wbrew temu, co myślisz, nie lubię robić zamieszania. Wolałbym, żeby rzeczy były zamknięte. Apple musi wzmocnić swoją grę w zakresie bezpieczeństwa, ponieważ takie rzeczy sprawiają, że wydaje się, że nawet nie zwracają uwagi.