High Sierra – avagy belőled is lehet hacker
A név a California területén található 640 kilométeren át húzódó Sierra Nevada hegylánc egyik tagját takarja, egyben a legutolsó macOS fantázianeve is. Illeszkedik a mostani névadási szokásokhoz, miszerint az egyes oprendszer verziókat a térség egy-egy jellegzetességéről nevezik el almáéknál. A rendszert idén nyáron jelentették meg, a felhasználók visszajelzése meglehetősen pozitív összességében.
Megjelenése után egy héttel már volt hozzá biztonsági frissítés, mert két olyan bug is felbukkant, ami komoly sebezhetőségeket tárt fel. Az egyik hozzáférést adott a titkosított adatokhoz, nemes egyszerűséggel megmutatta a titkosításhoz használt jelszót. A másik a szintén titkosítva tárolt felhasználói információkhoz adott hozzáférést, úgymint honlapokhoz használt felhasználónevek, jelszavak, stb. Elég ciki mindkét hiba, de ahogy arról már volt szó: a technika sosem lesz tökéletes, hibátlan kód nem létezik, még egészen egyszerű szofvereket is el lehet szúrni. Az Apple amúgy gyorsan reagált, és nagyon hamar befoltozta a lyukakat.
Tegnap ismét bekerült a hírekbe a High Sierra, és ennek most egészen biztos, hogy nem örülnek a cégnél. Az egész egy twitter üzenettel kezdődött, ami az Apple Supporthoz esett be, egy török feljesztői cég alapítójától.
Magyarul bárki be tud jelentkezni a root (rendszergazda) nevében, méghozzá jelszó használata nélkül. Kevesen mondhatják el magukról, hogy másodpercek alatt jutnak be rootként egy macOS rendszerbe. Itt a soha vissza nem térő alkalom, bárki lehet hekker, hé! Azt ugye nem kell részletezni, hogy lényegében minden, a rendszerben tárolt privát adathoz hozzá lehet férni ezzel a módszerrel. Felhasználónevek, jelszavak, pikáns fotók szevasztok!
Az egyik jó hír az, hogy a “betöréshez” fizikai hozzáférés kell a géphez. Magyarul ha a felhasználó tarkóncsapkodja azokat akik sunyiban akarják használni az adott eszközt, az már megfelelő biztonságot nyújt. A másik pedig az, hogy ha kézzel be van állítva a root jelszó, akkor a probléma megszűnik. Biztos, hogy erre villámgyorsan lesz valami biztonsági frissítés, de addig is szerintem érdemes elébe menni, és megtenni az óvintézkedéseket.
