Turkkilainen ohjelmistokehittäjä Lemi Orhan Ergin paljasti eilen Twitterissä Applen macOS-käyttöjärjestelmästä erittäin kriittisen nollapäivähaavoittuvuuden.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Apple-tuelle osoittamassaan twiitissä Ergin kertoi, että kuka tahansa pystyy kirjautumaan root-pääkäyttäjätunnuksella sisään ilman salasanaa. Haavoittuvuus koskee macOS-käyttöjärjestelmän uusinta 10.13 High Sierra -versiota ja niitä jotka eivät ole kytkeneet pois käytöstä vieras-tunnusta tai asettaneet erikseen root-pääkäyttäjän salasanaa.
Erginin toimintaa on kritisoitu laajasti, sillä alalla vallitsevan yleisen käytännön mukaan vakavat nollapäivähaavoittuvuudet tulisi raportoida suoraan kehittäjälle eikä paljastaa ja näin altistaa miljoonia tietokoneita vaaraan.
Ergin on kirjoittanut selvityksen twiitistään ja kertoi hänen yrityksensä raportoineen bugin Applelle jo 23. marraskuuta. Lisäksi Ergin luuli haavoittuvuuden olevan tiedossa, koska siitä on kirjoitettu esimerkiksi Applen kehittäjäfoorumille jo 13. marraskuuta. Ergin selittää twiittinsä tarkoituksen olleen julkinen ihmettely, miksei Apple ollut vielä reagoinut haavoittuvuuteen.
Apple on antanut haavoittuvuudesta lausunnon, jonka mukaan se työstää parhaillaan päivitystä ja kehoittaa sillä välin käyttäjiä asettamaan root-käyttäjälle salasanan.
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.
Lisää aiheesta: Viestintävirasto
Kuulostaa kyllä todella idioottimaiselta. Devaajat olleet laiskoja ja käytäneet roottia ilman passua, joka on sitten unohtunut lopulliseen versioon tai jotain muuta vastaavaa.
Defaultina macOS:ssä root-käyttäjä on disabloituna. Tämän bugin takia jostain omituisesta syystä root-käyttäjä vaihtuu enabled-tilaan, vaikka tuolla kirjautumisetoiminnolla ei pitäisi näin ulkopuolisen näkökulmasta olla mitään pääsyä sellaiseen asetukseen.
Tämä on jo todella paha, koska etänä… :facepalm:
Aivan käsittämätöntä typeryyttä ja vielä pahempaa on jos Apple on oikeasti tiennyt tuosta jo pidemmän aikaa. En kyllä ymmärrä miten tuon tason moka voi mennä läpi lopulliseen tuotteeseen asti.
FaceID root!
Saa nähdä monta vuorokautta menee kun julkaisevat päivityksen.
Nykyaikana kaikkien systeemien joiden turvallisuus perustuu salasanaan pitäisi toimia niin että se systeemi vaatii käyttöönotonyhteydessä käyttäjää tekemään uuden yksisöllisen salasanan pitäisi olla itsestäänselvyys se että Apple tahallaan jättää tämän perusvaatimuksen täyttämättä on törkeää.
About the security content of Security Update 2017-001
Ei.
Koneessa pyörii ziljoona erilaista apuprosessia ja palvelua.
On oikein tehtyä tietoturvaa, että näillä kullakin on eri käyttäjätunnukset, jolloin yhteen murtautuminen ei mahdollista murtautumista koko koneeseen.
Olisi aivan järjetöntä, että käyttäjän pitäisi alkaa konetta asentaessaan asettaa salasanoja kymmenille eri palveluille, joiden nimissä käyttäjän ei koskaan kuulu loginnata.
Joo ei helvetissä mitään perus-perttejä pidä päästää määräämään rootille tai muille salasanattomille käyttäjille salasanoja luokkaa "Salasana123".
Silleen tietty ihan jees jos jollain valmiilla accountilla voi etänäkin liipasta ineen laitteeseen. Nyt on osattu.
Mistäköhän lähtien macOS ei ole osannut disabloida automaagiupdateja?
Lähde: Apple Releases macOS High Sierra Security Update to Fix Root Password Vulnerability
Jotain meni sitten rikki tuossa korjauksessa joillakin.
Repair file sharing after Security Update 2017-001 for macOS High Sierra 10.13.1
Oliko tämä guest account aktiivisuus myös oleellinen osa bugia että se "toimii"? Jos oli, niin oletuksenahan guest account on myös poissa päältä, joten voi olla että tämä nyt ei isoa osaa käyttäjistä lopulta vaikuttanut.
Juuri päin vastoin:
Ensinnäkin, guest-tunnusta ei millään tavalla tarvita tuon bugin hyödyntämiseen:
Toisekseen: Se guest-tunnus oli todennäkösiesti disabloitu samalla tavalla kuihn suora rooit-loginnikin, jolloin tuo sama bugi myös enabloi sen, ilman salasanaa.
Okei, sitten oli harhaanohtava uutisointi. No anyway, vähän aikaa sitten tuli ilmoitus että tarvittava päivitys asentui automaagisesti.
Tässä 10.13-versiossa nimenomaan login-ruutuun ilmestyi Guest User (mikä ei kuitenkaan ole uusi ominaisuus.) Asetuksista riippuen siinä ei pääse valitsemaan kirjoittamalla root-tunnusta suoraan.
Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.
ömm minulla on FileVault ja Find My Mac päällä, mutta Guest kutenkin disabloituna (tai ainakin Users&Groups Guestin on "off").
Näemmä macOS::ssä on kaksi erillistä Guest User accountia. Toinen on oikea käyttäjätili. Toinen on pseudo-account, jolla voi käyttää vain Safaria, ja jolla ei ole esim. kotihakemistoa. Oikeaa Guest Useria ei voi käyttää salatulla levyllä ollenkaan. Tuon pseudo-accountin taustalla on idea, että varas/löytäjä menisi verkkoon sen kautta ja Find My Macilla voisi siten löytää koneen. Kumpikin on mahdollista disabloida, vaikka käyttäisi em. ominaisuuksia.
https://discussions.apple.com/thread/7299990?start=0&tstart=0
https://apple.stackexchange.com/questions/301106/why-do-i-have-two-guest-users