Schenkt Apple der macOS-Sicherheit überhaupt noch Aufmerksamkeit?

Eine neue Mac-Sicherheitslücke Mit dieser Option können Sie buchstäblich jeden Benutzernamen und jedes Kennwort eingeben, um das Mac App Store-Bedienfeld in den Systemeinstellungen zu entsperren. In der Praxis ist dies wahrscheinlich keine große Sache – das Panel ist standardmäßig entsperrt -, aber die Tatsache, dass dieses Problem überhaupt besteht, ist eine besorgniserregende Erinnerung daran, dass Apple der Sicherheit nicht mehr wie früher Priorität einräumt.

Ich verstehe: Tech-Journalisten neigen dazu, den Verstand zu verlieren, wenn es um Apple geht. Der kleinste Fehler wird unglaublich hochgespielt, mit einem Namen versehen, der mit „Tor“ endet, und dann innerhalb eines Monats vergessen. Zu diesem Zeitpunkt ist es ein regelmäßiger Zyklus, und es macht es den Lesern schwer, tatsächliche Probleme zu erkennen.

Ein bisschen Geschichte

Lassen Sie uns also schnell einen Rückblick geben. Bereits im November 2017 konnte ein MacOS-Fehler dazu führen, dass jeder ein Root-Konto ohne Kennwort in den Systemeinstellungen erstellen konnte, indem er einfach «root» als Benutzernamen eingab und buchstäblich ein beliebiges Kennwort erfand. Anstatt Ihnen den Zugriff zu verweigern, wie es ein gut gestaltetes System tun würde, würde macOS High Sierra dies einfach tun Erstellen Sie ein Root-Konto Verwenden Sie das von Ihnen eingegebene Passwort.

Dies ist nicht nur ein verblüffend unsicherer Geist, sondern auch ein bizarres Verhalten. Warum in aller Welt sollte ein Root-Passwort ein Root-Konto aus ganzem Stoff erstellen? Was passiert im Backend, das das möglich macht?

Es ist schwer vorstellbar, weshalb Tech-Journalisten hier nicht übertrieben haben. Es war wirklich sehr, sehr schlecht.

Und die Bereinigung nach diesem Fehler hat nicht viel mehr Vertrauen geweckt. Sicher, Apple hat einen Patch veröffentlicht, mit dem das Problem behoben wurde, aber viele Benutzer haben das Problem erneut eingeführt, wenn sie das einwöchige 10.13.1-Update nach der Installation installiert haben. Erst mit der Veröffentlichung von 10.13.2 wurde das Problem vollständig behoben, und das erst im Dezember 2017.

Aber zumindest war das das Ende. Richtig?

Das neueste Problem

Nicht ganz. Es stellt sich heraus, dass es in den Systemeinstellungen unerklärlichere Sicherheitsprobleme gibt. Sie können dieses einfach in 10.13.2 neu erstellen, wenn Sie zu Hause mitspielen möchten. Öffnen Sie also ein Fenster und schließen Sie sich mir an! Öffnen Sie die Systemeinstellungen in einem Administratorkonto und rufen Sie den App Store auf. Sie werden feststellen, dass die Sperre unten links standardmäßig geöffnet ist, sodass Sie die Einstellungen ändern können.

Ich bin mir nicht sicher, warum das Schloss überhaupt vorhanden ist, wenn es standardmäßig entsperrt ist, aber was auch immer. Klicken Sie auf das Schloss, um dieses Bedienfeld zu „sichern“, und klicken Sie dann erneut darauf, um es zu entsperren. Hier ist der Trick: Sie können buchstäblich jedes gewünschte Passwort eingeben und das Panel wird entsperrt.

Gleiches gilt für den Benutzernamen: Sie können alles, was Sie wollen, in dieses Feld eingeben und das Panel wird entsperrt. Ich tippte «Harry» als Benutzernamen und «ist dumm» als Passwort und es funktionierte; «Justin» und «ist großartig».

In der Praxis ist dies kein großes Problem: Auch hier ist das betreffende Bedienfeld nicht standardmäßig gesperrt, und durch das Entsperren dieses Bedienfelds erhalten Sie keinen Zugriff auf ein anderes gesperrtes Bedienfeld.

Das Problem ist, dass wir nicht wissen, warum dies geschieht und ob der Fehler, der dies zulässt, an anderer Stelle vorhanden sein kann. Wie bei dem früheren Fehler ist es erstaunlich, dass niemand dieses Problem beim Testen entdeckt hat, und Sie fragen sich wirklich, wie sehr Sie macOS vertrauen können, um Ihre Daten gesperrt zu halten.

Wir sind sicher, dass ein Update dies korrigieren wird, besonders jetzt, wo die Medien viel Aufhebens machen. Aber im Gegensatz zu dem, was Sie vielleicht denken, mache ich keine Aufregung. Ich möchte lieber, dass die Dinge abgeschlossen werden. Apple muss sein Spiel im Sicherheitsbereich verbessern, da solche Dinge den Anschein erwecken, als würden sie nicht einmal aufpassen.