Heb jij de nieuwste versie van het Mac besturingssysteem High Sierra?
Verander dan maar snel de toegang tot je instellingen, want die nieuwste versie is zo lek als een mandje. Zo kan iedereen inloggen op jouw instellingen – het enige dat je daarvoor hoeft te doen is inloggen met gebruikersnaam “root” en een paar keer klikken, een wachtwoord is niet eens nodig.
Tot Apples afgrijzen en schaamte werd dinsdag ontdekt dat het gloednieuwe High Sierra allesbehalve veilig is. Onder bepaalde omstandigheden kunnen gebruikers wijzigingen aanbrengen in andermans instellingen door in te loggen als “root” en met een blanco wachtwoord.
In een reactie zegt Apple de bug te onderzoeken en snel met een software update te komen om een en ander te repareren:
“Er wordt aan een software update gewerkt. Het instellen van een root password voorkomt dat onbevoegden toegang tot je Mac krijgen. Om Rootgebruiker in te schakelen en een wachtwoord in te stellen, volg deze instructies: https://support.apple.com/en-us/HT204012. Is Rootgebruiker al ingeschakeld, volg dan de instructies onder “Verander Root Password” om te garanderen dat er geen blanco wachtwoord is ingesteld.”
Business Insider slaagde er dinsdag in om het besturingssysteem te hacken. Met "root" als gebruikersnaam, en zonder een wachtwoord in te vullen, kostte het ons twee clicks om toegang te krijgen tot de gebruikersinstellingen van een High Sierra systeem. Dat lukte overigens niet op een Mac die op oudere software draaide.
In theorie kan een gebruiker met toegang tot een root, door je hele computer grasduinen - door je data, je instellingen, alles.
Lees hieronder de tweets waar alles mee begon:
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Veel twitteraars pikken het probleem op en reageerden, waaronder voormalig NSA-medewerker en klokkenluider Edward Snowden en andere veiligheidsexperts.
Imagine a locked door, but if you just keep trying the handle, it says "oh well" and lets you in without a key. https://t.co/KBW4qntMdA
— Edward Snowden (@Snowden) November 28, 2017
Uh, that’s not so good... https://t.co/DqE2KJx3x4
— Troy Hunt (@troyhunt) November 28, 2017
You can bypass Apple auth by using "root" and no password. Here's my reproduction of https://t.co/SYSsPjLfpx /facepalm pic.twitter.com/oLa1S3W6Ly
— Bill Mill (@llimllib) November 28, 2017
Apple right now pic.twitter.com/GouiCI2zlW
— The Register (@TheRegister) November 28, 2017
Log in as root, change root password, log out - can’t reproduce this bug anymore https://t.co/JJyRB9acOk
— Lizzie (@glitchliz) November 28, 2017
Apple zette een online hulppagina op waar gebruikers wordt uitgelegd hoe ze een Rootgebruiker inschakelen. Dat is volgens het bedrijf de beste manier om de bug tijdelijk te fixen totdat een meer permanente software update beschikbaar is.
Dit is overigens niet Apple's eerste grote veiligheidsbug in het besturingssysteem van de Mac. Eerder dit jaar deelden Macs gewoon wachtwoorden uit wanneer gebruikers om een wachtwoordhint vroegen.
