Τεράστιο κενό ασφαλείας στο macOS High Sierra επιτρέπει το ξεκλείδωμα των ρυθμίσεων του App Store με οποιοδήποτε συνθηματικό
Ένα πραγματικά τεράστιο κενό ασφαλείας έχει προκύψει τις τελευταίες ώρες στο λειτουργικό σύστημα macOS High Sierra. Μετά την τελευταία ενημέρωση που κυκλοφόρησε πρόσφατα (10.13.2) επιτρέπεται παραδόξως στον χρήστη να έχει πρόσβαση στις ρυθμίσεις του App Store από τις προτιμήσεις συστήματος με οποιονδήποτε κωδικό και αν χρησιμοποιήσει.
Αν βέβαια υπάρχει και κάποιος άλλος χρήστης χωρίς δικαιώματα διαχειριστή καταχωρημένος στο Mac, το bug δεν υφίσταται αφού χρειάζεται μόνο ο σωστός κωδικός.
Επιπλέον η πρόσβαση με οποιονδήποτε κωδικό δεν αφορά άλλες ενότητες όπως αυτές των χρηστών ή της Ασφαλείας και του Απορρήτου.
Σύμφωνα με τις τελευταίες πληροφορίες το συγκεκριμένο bug έχει διορθωθεί από την Apple στην πιο πρόσφατη δοκιμαστική έκδοση (beta) του macOS 10.13.3, η οποία αναμένεται να κυκλοφορήσει μέσα στο επόμενο διάστημα. Επιπλέον, το bug δεν ανιχνεύεται στις εκδόσεις του macOS Sierra από την 10.12.6 και πίσω.
Ουσιαστικά το συγκεκριμένο bug δίνει τη δυνατότητα στον οποιονδήποτε που έχει δικαιώματα διαχειριστή, να μπορεί να επιτρέπει την αυτόματη εγκατάσταση ενημερώσεων του λειτουργικού συστήματος και των εφαρμογών.
Αν είμαστε λίγο πιο παρατηρητικοί, θα διαπιστώσουμε πως λίγους μήνες πριν, είχε παρατηρηθεί ακριβώς αντίστοιχο πρόβλημα πάλι στο macOS High Sierra, το οποίο επέτρεπε στον χρήστη “root” να έχει πρόσβαση χωρίς καν κάποιον κωδικό. Το κενό ασφαλείας τότε διορθώθηκε από την Apple με συμπληρωματική ενημέρωση ασφαλείας.
Η Apple τότε σε ανακοίνωσή της είχε απολογηθεί στους χρήστες, επισημαίνοντας πως θα βελτίωνε την ποιότητα των ενημερώσεων ώστε να αποφευχθούν τέτοιες “αστοχίες” στο μέλλον. Όμως κάτι τέτοιο μάλλον, δεν έγινε.
Να σημειώσουμε πως το κενό ασφαλείας που προέκυψε στις ρυθμίσεις του App Store, δεν συγκρίνεται με το root bug το οποίο όπως προείπαμε αφορούσε την πρόσβαση στα δικαιώματα διαχειριστή. Δεν παύει όμως να αποτελεί ένα σημαντικό κενό ασφαλείας, το οποίο η Apple θα πρέπει να επιλύσει και δημόσια. Αναμένουμε λοιπόν μία συμπληρωματική ενημέρωση ασφαλείας ή την επίσημη διάθεση του macOS High Sierra 10.13.3.
Σε επίσημο αίτημα του MacRumors για σχολιασμό του γεγονότος, η Apple δεν απάντησε.
Μία προσωρινή λύση στο bug που έχει δημιουργηθεί είναι να αποσυνδέεστε από τον λογαριασμό-χρήστη σας στο mac όταν απομακρύνεστε από αυτόν.
Αν θέλετε να διαπιστώσετε και μόνοι σας το bug, ακολουθήστε την παρακάτω διαδρομή:
Μηλαράκι πάνω αριστερά > Προτιμήσεις συστήματος > App Store > Λουκετάκι κάτω αριστερά. Αφού το επιλέξουμε βάζουμε όποιον κωδικό θέλουμε πατώντας τυχαία πλήκτρα ή απλά αφήνουμε το πεδίο του συνθηματικού κενό.
Δύο σκέψεις
Καθυστερημένη αντιμετώπιση του crack exploit, το root bug και τώρα το App Store bug, έρχονται να συμπληρώσουν την τριάδα των σημαντικών λαθών που έχει κάνει η Apple στο λειτουργικό MacOS High Sierra.
Μία καλή λύση είναι η Apple να δίνει πιο “αραιά” ενημερώσεις για το macOS αλλά πιο καλογραμμένες. Υπάρχει η άποψη που λέει πως η Apple πυροβολάει τα πόδια της με το να καθορίζει deadlines στις ενημερώσεις που θα πρέπει να κυκλοφορήσει. Ο λόγος είναι πως απλά δεν προλαβαίνει. Με άλλα λόγια, θα προτιμούσαμε να βλέπουμε πιο ποιοτικές ενημερώσεις. Προφανώς, πρόκειται για μία κακή περίοδο την οποία αναμένουμε η εταιρεία να ξεπεράσει άμεσα!
