Door een nieuwe Mac-beveiligingsfout kun je letterlijk elke gebruikersnaam en wachtwoord typen om het Mac App Store-paneel in Systeemvoorkeuren te ontgrendelen. Praktisch gezien is het waarschijnlijk geen probleem – het paneel is standaard ontgrendeld – maar het feit dat dit probleem überhaupt bestaat, is een verontrustende herinnering dat Apple geen prioriteit geeft aan beveiliging zoals vroeger.
VERWANT: Enorme macOS-bug maakt root-aanmelding zonder wachtwoord mogelijk. Hier is de oplossing
Ik snap het: techjournalisten verliezen vaak hun verstand als het om Apple gaat. De kleinste fout wordt onvoorstelbaar gehyped, krijgt een naam die eindigt op ‘gate’ en wordt binnen een maand vergeten. Het is op dit moment een normale cyclus en het maakt het voor lezers moeilijk om werkelijke problemen te herkennen.
Een beetje geschiedenis
Dus laten we het snel bekijken. In november 2017 liet een macOS-bug iedereen een root-account aanmaken zonder wachtwoord in Systeemvoorkeuren door simpelweg “root” als gebruikersnaam te typen en letterlijk een wachtwoord te verzinnen. In plaats van u de toegang te ontzeggen, zoals een goed ontworpen systeem zou doen, zou macOS High Sierra dat gewoon doen maak een root-account aan met welk wachtwoord je ook hebt ingevoerd.
Dit is niet alleen geestdodend onzeker, maar ook bizar gedrag. Waarom zou het verzinnen van een root-wachtwoord in vredesnaam een root-account creëren uit een hele stof? Wat gebeurt er in de backend dat dat mogelijk maakt?
Het is moeilijk voor te stellen, en daarom was dit geen geval van overdreven technische journalisten. Het was echt heel erg.
En het opruimen na die bug wekte niet veel meer vertrouwen op. Zeker, Apple heeft een patch uitgegeven waarmee het probleem is verholpen, maar veel gebruikers hebben het probleem uiteindelijk opnieuw geïntroduceerd als ze de een week oude 10.13.1-update na de installatie installeerden. Pas met de release van 10.13.2 was het probleem volledig opgelost, en dat was pas in december 2017.
Maar dat was in ieder geval het einde. Rechtsaf?
Het nieuwste probleem
Niet helemaal. Het blijkt dat er meer onverklaarbare beveiligingsproblemen zijn in Systeemvoorkeuren. Je kunt deze gemakkelijk opnieuw maken in 10.13.2 als je thuis wilt meespelen, dus open een raam en doe mee! Open Systeemvoorkeuren in een beheerdersaccount en ga naar App Store. Je zult zien dat het slot linksonder standaard open is, wat betekent dat je vrij bent om instellingen te wijzigen.
Ik weet niet zeker waarom het slot er überhaupt is als het standaard is ontgrendeld, maar wat dan ook. Klik op het slot om dit paneel te “beveiligen” en klik er nogmaals op om het te ontgrendelen. Hier is de truc: je kunt letterlijk elk wachtwoord typen dat je wilt en het paneel wordt ontgrendeld.
Hetzelfde geldt voor de gebruikersnaam: je kunt alles in dat veld zetten en het paneel wordt ontgrendeld. Ik typte “Harry” als de gebruikersnaam en “is dom” als het wachtwoord en het werkte; net als ‘Justin’ en ‘is geweldig’.
Praktisch gezien is dit niet echt een probleem: nogmaals, het paneel in kwestie is niet standaard vergrendeld en het ontgrendelen van dit paneel geeft je geen toegang tot een ander vergrendeld paneel.
Het probleem is dat we niet weten waarom dit gebeurt, en of de bug die het toelaat, ergens anders kan bestaan. Net als bij de eerdere bug, is het verbazingwekkend dat niemand dit probleem tijdens het testen heeft opgemerkt, en je vraagt je echt af in hoeverre je macOS kunt vertrouwen om je gegevens vergrendeld te houden.
VERWANT: Pc-bedrijven worden slordig met beveiliging
We weten zeker dat een update dit zal herstellen, vooral nu de media ophef maken. Maar in tegenstelling tot wat je misschien denkt, hou ik er niet van om drukte te maken. Ik heb liever dat dingen worden afgesloten. Apple moet hun spel op het gebied van beveiliging opvoeren, want door dit soort dingen lijkt het alsof ze niet eens opletten.
