High Sierra – avagy belőled is lehet hacker

A név a California területén található 640 kilométeren át húzódó Sierra Nevada hegylánc egyik tagját takarja, egyben a legutolsó macOS fantázianeve is. Illeszkedik a mostani névadási szokásokhoz, miszerint az egyes oprendszer verziókat a térség egy-egy jellegzetességéről nevezik el almáéknál. A rendszert idén nyáron jelentették meg, a felhasználók visszajelzése meglehetősen pozitív összességében.

Megjelenése után egy héttel már volt hozzá biztonsági frissítés, mert két olyan bug is felbukkant, ami komoly sebezhetőségeket tárt fel. Az egyik hozzáférést adott a titkosított adatokhoz, nemes egyszerűséggel megmutatta a titkosításhoz használt jelszót. A másik a szintén titkosítva tárolt felhasználói információkhoz adott hozzáférést, úgymint honlapokhoz használt felhasználónevek, jelszavak, stb. Elég ciki mindkét hiba, de ahogy arról már volt szó: a technika sosem lesz tökéletes, hibátlan kód nem létezik, még egészen egyszerű szofvereket is el lehet szúrni. Az Apple amúgy gyorsan reagált, és nagyon hamar befoltozta a lyukakat.

Tegnap ismét bekerült a hírekbe a High Sierra, és ennek most egészen biztos, hogy nem örülnek a cégnél. Az egész egy twitter üzenettel kezdődött, ami az Apple Supporthoz esett be, egy török feljesztői cég alapítójától.

Magyarul bárki be tud jelentkezni a root (rendszergazda) nevében, méghozzá jelszó használata nélkül. Kevesen mondhatják el magukról, hogy másodpercek alatt jutnak be rootként egy macOS rendszerbe. Itt a soha vissza nem térő alkalom, bárki lehet hekker, hé! Azt ugye nem kell részletezni, hogy lényegében minden, a rendszerben tárolt privát adathoz hozzá lehet férni ezzel a módszerrel. Felhasználónevek, jelszavak, pikáns fotók szevasztok!

Az egyik jó hír az, hogy a “betöréshez” fizikai hozzáférés kell a géphez. Magyarul ha a felhasználó tarkóncsapkodja azokat akik sunyiban akarják használni az adott eszközt, az már megfelelő biztonságot nyújt. A másik pedig az, hogy ha kézzel be van állítva a root jelszó, akkor a probléma megszűnik. Biztos, hogy erre villámgyorsan lesz valami biztonsági frissítés, de addig is szerintem érdemes elébe menni, és megtenni az óvintézkedéseket.

13 comments

:/ 2017.11.29 10:04

Kit érdekel?
H A V A Z I K !!! 😁 https://uploads.disquscdn.com/images/be604089a25836a7fc26e60a31e780d1f3e920eb639c2edd7d0f6b5444ce1ac6.gif

⁫⁫⁫⁫⁫⁫ 2017.11.29 10:27

minden tré latyak lesz

:/ 2017.11.29 10:36

Csak egy újabb lehetőség csizma vásárlásra 😊

orizatriznyák 2017.11.29 10:32

Itt még nem, de már daráltam le hungarocellt és találtam a padláson egy régi

dunnát amit kivágtam a hagyatéki (rohadjak meg, ha tudom, hogy az
micsoda) toll tartalmáért, meg még vettem műhó sprét is 17 flakonnal,
összevegyítettem, kiöntöttem a ház elé, s most ezeknek a kombinációjával
készülök a hólapátolásra.

:/ 2017.11.29 10:35

Ügyes vagy hogy gyakorolsz 😊

⁫⁫⁫⁫⁫⁫ 2017.11.29 11:54

Ha megvárod, míg lefagy, akkor villával is lehet.

The Winter Soldier ⭐ 2017.11.29 11:23

Jó a kecód, nem egy horrorfilmben volt?

:/ 2017.11.29 11:26

Igazából csak egy gyors keresés volt, de egy ilyen lakásért simán vállalnám akár a horrorfilmben szereplést is 😁

✪☼ 2017.11.29 10:32

Sikeresen átlapozva.

orizatriznyák 2017.11.29 10:50

https://media.giphy.com/media/wvQIqJyNBOCjK/giphy.gif

The Winter Soldier ⭐ 2017.11.29 11:22

Letartóztatták már az etikus hackert? Ja, ő nem vett ötven forintért bérletet.

mokusON 2017.11.29 12:33

kiváncsi lennék hogy jöttek rá. gondolom lassú volt a net üzmürgüzmürben, és addig ütötte az entert amíg egyszercsak bent volt.

SpaceWolf 2017.11.29 12:40

Én eddig akárhány pentesterrel találkoztam, mindegyiknek az volt az első húzása, hogy az alkalmazásba admin felhasználóval és üres jelszóval próbálkoztak. Esetleg admin/admin. Ha ez nem sikerült, akkor álltak neki egyáltalán nézelődni. És láttam olyat, hogy bejött neki. A fejlesztők vért pisáltak utána egy hétig.