苹果开发人员犯低级错误,macOS系统无需密码解锁造成隐患

百家 作者:互联网观察 2017-12-01 11:25:37 阅读:313

就在写这篇文章之前,我在与苹果的客服人员在沟通Appstore下载速度问题,在它们提供的重置网络设置方法无果后,我再次像往常一样自给自足解决技术问题,而且我在发现解决方法后,将方法反馈到了苹果。

我不知道能否帮到同样拥有DNS解析问题的其他“果粉”,但是我知道我在编写教程的同时发现此类问题可追溯到2013年,也就是说同样的问题,苹果官方一直没有收录,如此简单的网络问题苹果都无法通过看似严谨的反馈程序帮助用户,曝光出macOS High Sierra重大、低级漏洞也就可以想象的通了。


 macOS爆出重大漏洞,影响最新系统用户

 在昨天(29日),一系列科技媒体报道了macOS High Sierra 账号管理漏洞,因为苹果开发人员编程的粗心大意,更新了macOS High Sierra的用户将暴露在威胁当中。

不用密码就能进入电脑

此漏洞源于开发人员将系统最高管理员账号(Root)权限暴露并且密码留空。

学过编程的人都知道此账户的威胁性,以至于大多数系统都是默认隐藏,需要从命令行界面一系列操作才能开启,而将此账户暴露并留空,意味着任何人都可以用单独四个字母的root账户解锁你得电脑,并有权更改一切设置、查看一切资料。

同样,黑客通过远程登陆,也可以实现一对多的监视、操控。几乎你的电脑相当于仍在了大街上还没设置密码。

而且此问题从WWDC发布后不久就暴露出端倪:2017 年 6 月 5 日,macOS High Sierra 正式推出并免费向绝大多数 Mac 用户推送。而根据硅星人(科技媒体)的查证,最早在今年 6 月 7 日——新系统推出两天后——就有用户在苹果开发者论坛留言:升级到 macOS High Sierra,系统里原来的两个管理员账户全都变成普通用户了。

该媒体猜测,很可能当时升级进行了一个很蹊跷的动作:降低现有管理员用户的权限,然后静默创建一个新的管理员用户。

苹果为什么要这样做?或许,这是苹果想为公司 IT 设置的捷径,方便他们远程管理员工的电脑;也有可能,这是苹果想给自己留的捷径,以便推送一切重要的安全更新,或者其它东西。

但是这个问题并没有得到足够重视,直到一位名为Lemi Orhan Ergin 通过 Twitter @Apple,用一个带有“HUGE”的字眼提醒到了苹果,今天苹果已经通过系统补丁方式及时修补了这一低级错误。


小学生都能破解你的电脑,苹果安全形象受损

一直以来,苹果就以mac的安全性而骄傲,时常在Windows出现安全风险后嘲讽对手,但是mac此次暴露出的问题让人直呼“脑子进水”。

近几年来苹果对mac产线的动作寥寥,没有很好针对用户呼声加入时下别家都有的功能(触控屏、键盘、系统体验等等),引发了“果粉们”的一致吐槽。

实际上,苹果是对于自家安全问题过于自信了。在一期《新闻调查》节目当中,白帽子的故事给大多数普通人打开了一扇了解他们的窗户,现代国内外互联网公司对安全问题的重视程度一直在上涨,很多公司如微软、Google、 Adobe都有提交bug给予现金和署名激励形势。

虽然苹果在iOS上拥有捉虫悬赏 (bug bounty)机制鼓励大家提交漏洞,但是在mac上去没有类似机制。

在白帽子黑客看来,即便在系统更新中署名也是一种激励,他们希望有人认同自己的劳动成果而已,很多就职于安全部门的白帽子黑客并不缺钱花。

谈及苹果的自大,也不得不说一下中国网络公司的情况,在《新闻调查》栏目两集的系列节目当中,中国白帽子们对国内互联网公司的bug提交热情并不低,并愿意在保守的环境中不断的普及这一制度和文化。

但是,很多互联网企业有着前现代的官场思维,认为这是一种耻辱。在bug挑战赛上,很多互联网公司愿意以一切办法组织这种“丢人的事情发生”。

只要挑战者愿意不发布bug,会以数十万奖金收买,收买不成就一纸律师函告你,称这是黑客行为。

我觉得,在网络安全情况日益严峻的当下,很多互联网企业应该有这个意识,不要等到几亿用户数据泄露完在黑市上卖的时候才想起来修补漏洞。

wwwgx2016互联网观察

每天精选深度互联网业内文章

整理最新互联网业界资讯,欢迎分享

长按,识别二维码,加关注

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接