En till oförsvarlig säkerhetsbugg i Mac OS

Ikväll ställer jag mig frågan: vad i hela friden håller Apple på med? Mac OS har länge varit ett bra och säkert operativsystem, men slarvtendenserna som Apple har uppvisat på senare tid gör mig genuint orolig.

Nu har det uppdagats en till bugg som är synnerligen kritisk. Den gör att någon som har fysisk tillgång till din Mac kan få administratörsrättigheter och därmed komma åt allt innehåll. Buggen kan inte utnyttjas över internet, vilket gör att du som är ensam med din Mac kan ta det lugnt i väntan på att Apple släpper en officiell uppdatering. Annars behöver du omgående följa instruktionerna i slutet av denna artikel för att hålla din Mac och dess innehåll säkert.

2017-11-29: Apple har nu släppt en uppdatering som löser problemet. Öppna App store och installera samtliga uppdateringar. Om du kör Mac OS 10.12 (Sierra) eller Mac OS 10.11 (El Capitan) behöver du inte installera några uppdateringar då dessa versioner inte var drabbade.

Förra oförsvarliga buggen

Jag krypterar alla mina hårddiskar, vare sig det behövs eller inte. Journalister krypterar också sina hårddiskar eftersom de, till skillnad från mig, förvarar livskritiska saker på dem. Att Mac OS krypterar hårddiskar på ett korrekt och säkert vis är därför av högsta vikt. Döm om min förvåning när jag för några veckor sedan fick reda på att den som ville ha lösenordet till någon av mina hårddiskar helt enkelt kunde klicka på ”lösenordstips” och få dem! Detta berodde på att Apple hade blandat ihop två variabler (lösenordet och lösenordstipset). En så kritisk funktion som kryptering måste testas bättre och får inte släppas med en så allvarlig bugg.

Nya oförsvarliga buggen

Det brukar sägas att en gång är ingen gång. Två gånger är två gånger för mycket. Nu har en lika allvarlig bugg upptäckts i Mac OS High Sierra. Tyvärr rapporterades den inte till Apple på ett ansvarsfullt vis, utan basunerades i stället ut över internet. Det finns därför ingen patch tillgänglig som löser problemet.

Jag har testat det som Lemi påstår och konstaterat att det stämmer. Genom att helt enkelt skriva root som användare (högsta behörighetsnivån) och lämna lösenordsfältet tomt kan jag få administrationsrättigheter på datorn (och därmed göra i princip vad jag vill).

Tillfällig lösning

I väntan på att Apple skickar ut en uppdatering som löser problemet kan du själv åtgärda det genom att sätta ett säkert lösenord på ditt root-konto. Det gör du genom att öppna terminalen och skriva följande kommando.

sudo passwd -u root

Kommandot betyder: i rollen som datorns superanvändare (sudo) vill jag ändra lösenordet (passwd) på användaren (-u) med namn root.

Klicka därefter på enter, skriv in ditt lösenord för det aktuella kontot, klicka på enter igen och skriv det önskade lösenordet för root-kontot. Tänk på att det måste vara ett starkt och säkert lösenord. Generera och förvara förslagsvis root-lösenordet i din lösenordshanterare.

Terminalkommando för byte av root-lösenord
Säkra din dator genom att byta root-lösenord i väntan på säkerhetsuppdatering från Apple

Om du föredrar att genomföra processen i ett grafiskt gränssnitt kan du följa Apples officiella instruktioner (engelska).

Inte okej

Säkerhetsslarv som detta är inget som hör hemma i ett modernt operativsystem. Jag förstår att Apple lägger merparten av sina resurser på IOS-plattformen, men om de överhuvudtaget vill ha kvar Mac OS måste de skärpa sig. Detta är helt oacceptabelt. Mina tankar går närmast till denna sketch med ett synopsis till filmen The Shawshank Exception.

– You’ll be playing a prisoner who asks if he can leave and the warden says yes.
– And then I leave?
– Yes.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar