I slutet av november upptäcktes en extremt allvarlig bugg i Mac OS High Sierra. Den gjorde att alla som hade fysisk tillgång till en Mac kunde få administratörsrättigheter på den. Inkräktaren kunde således komma åt allt innehåll. I artikeln En till oförsvarlig säkerhetsbugg i Mac OS skrev jag följande:
Ikväll ställer jag mig frågan: vad i hela friden håller Apple på med? Mac OS har länge varit ett bra och säkert operativsystem, men slarvtendenserna som Apple har uppvisat på senare tid gör mig genuint orolig.
Apple åtgärdade den aktuella säkerhetsbristen, men min oro kvarstod. Hur kan sådant slarv få förekomma i en så säkerhetskritisk mjukvara som Mac OS? Det är därför jag ikväll, med stor uppgivenhet, läser att det har upptäckts en ny lösenordsrelaterad säkerhetsbrist i Mac OS High Sierra.
Lyckligtvis är denna säkerhetsbrist inte alls lika allvarlig som den förra. Det som skrämmer mig är att den senaste säkerhetsbristen, i kombination med tidigare säkerhetsbristerna, tyder på att Apple har tappat kontroll över sitt operativsystem.
Säkerhetsbristen
Säkerhetsbristen i sig är ingen katastrof. Den är mer av en pinsam natur. De flesta Mac OS-användare är troligtvis inloggade som administratörer då detta är standardkonfigurationen i Mac OS. Om en administratörsanvändare lämnar sin dator olåst kan en inkräktare med fysisk tillgång till Macen öppna systeminställningarna för App Store och ändra i dem (för att till exempel kunna köpa appar utan lösenord i framtiden). Normalt krävs återangivande av lösenord för att få ändra dessa inställningar, men nu kan inkräktaren skriva vilket lösenord som helst. Jag provade med lösenordet Bibbi2000 och det gick alldeles utmärkt.
Åtgärdande av säkerhetsbristen
Apple kommer att skicka ut ytterligare en säkerhetsuppdatering till Mac OS High Sierra för att lösa problemet. Den som vill åtgärda problemet omgående kan göra det genom att skapa ett separat administratörskonto och ta bort administratörsrättigheterna på sitt vanliga konto.
Det finns ingen anledning till panik. Säkerhetsbristen ger endast åtkomst till App Store-inställningarna och den kräver fysisk närvaro för att utnyttjas. Använd ett separat administratörskonto eller kom ihåg att aldrig lämna Macen olåst. Båda dessa rekommendationer gäller för övrigt även om vi bortser från säkerhetsbristen.
Något vi däremot ska vara oroliga över är Apples framtida plan för Mac OS. Om de fortsätter att slarva på detta vis kommer inga företag att kunna använda Macar. I början av sommaren är det dags för Apple-utvecklarkonferens WWDC. Då förväntar jag mig att Apple kommenterar Mac OS High Sierra-fiaskot och berättar vad gör för att det inte ska upprepas.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.