Ezért is maradhatott egy olyan bug az új rendszerben, ami felbukkanása esetén szinte kiordít a képernyőről. Az Apple azonnal javította a hibát.
Hirdetés
 

Valószínűleg egyszerűen a fejlesztők figyelmetlenségére és a tesztelés felületességére vezethető vissza az az elképesztően banális hiba, amit egy brazil fejlesztő talált a MacOS legújabb kiadásában, a High Sierra kódnevű 10.13-as verzióban. A hibára véletlenül bukkant rá. Amikor új titkosított kötetet akart létrehozni, a rendszer egyszerűen kiírta az érvényes jelszavát a képernyőre. A jelenséget megvizsgálta, eredményeit eljuttatta az Apple-nek, amely ugyan nem reagált egyből, ellenben lényegében azonnal javította a hibát, ami az APFS-kompatibilitás miatt csak az SSD-s rendszereket érintette..

Az APFS körül van a kavar

Mint ahogy azt korábban megírtuk, megjelenésekor a biztonsági kutatók azonnal nekiestek az új MacOS-nek, és szinte azonnal találtak benne olyan hibákat, ami komoly támadási faktor lehet. (A MacOS estében azért is fontos tevékenység a hibakeresés, mert nagyon sok elkötelezett Apple-felhasználó még mindig abban a tévhitben ringatja magát, hogy az almás operációs rendszer atombiztos, nem fenyegetik vírusok, és hackertámadásoknak is jóval kevésbé van kitéve, mint a windowsos rendszerek.)

A mostani hiba meglehetősen banális, ráadásul az operációs rendszer egyik fontos újításának, az Apple File Systemnek (APFS) abban az összetevőjében található, melynek feladata a kötetek titkosítása. A funkció feladata ugye épp az lenne, hogy az új fájlrendszerre építve a felhasználók titkosítva tárolhassák bizalmas információkat tartalmazó állományaikat.

A brazil fejlesztő teljesen véletlenül bukkant a hibára. Létre akart hozni egy titkosított kötetet. Ekkor, élve a rendszer felkínálta lehetőséggel, nem csak jelszót, hanem jelszó-emlékeztetőt is megadott. A hiba nem ekkor, hanem dekódoláskor jelentkezett. Amikor hozzá akart férni a titkosított kötethez, a rendszer kérte a jelszót. A fejlesztő azonban – valószínűleg véletlenül – megnyitotta a jelszó-emlékeztetőt is, amiben ott virított a kötet jelszava, a karaktersor a maga nyers valójában. Érdemes végignézni az alábbi alig egyperces videót, hogy mennyire egyszerű az egész folyamat.
 


Alaposabb kutakodás után a szakember rájött, hogy ez a jelenség – súlyos probléma –, akkor, és csakis akkor jelentkezik, ha a felhasználó jelszó-emlékeztetőt is megad. Ha valaki tud élni emlékeztető nélkül is (valószínűleg a felhasználók többsége), nem fut bele ebbe a problémába, és jelszava nem is fejthető fel szimpla eszközökkel. Az egész annyira banális, hogy érthetetlen, miért nem bukkant ki a funkció tesztelése során (talán elmaradt ez a fázis?).

Az Apple azonnal lépett

Amilyen banális a hiba, annyira egyszerű a javítása is – természetesen annak, aki alaposabban ismeri az Apple operációs rendszerének a működését. Egy kutató például kiderítette, hogy akár a parancssoros diskutil nevű eszközzel is lehet módosítani a jelszó-emlékeztetőt, hogy későbbi megnyitáskor ne mutassa meg a titkosított kötet jelszavát. A diskutil lényegében egy lemezkarbantartó segédeszköz, amellyel a helyi lemezek (merevlemez, optikai diszk, APFS kötetetek stb.) szerkezetét lehet módosítani és menedzselni, amihez meg tudja mutatni többek között, hogy a lemezek hogyan lettek particionálva, hogyan szerveződnek, milyen a formátumuk stb.

Az Apple dicséretére legyen mondva, nagyon gyorsan lépett, soron kívül javította a problémát, ahogy a korábban feltár, a Keychainnel kapcsolatos problémát is orvosolta annyiban, hogy biztonságosabbá tette a Keychain-kezelést. (Mint megírtuk, ott az volt a gond, hogy a Keychaint rá lehetett venni arra, hogy a benne tárolt jelszavakat sima szövegként adja át.)

Biztonság

Megint úgy meghekkelték a netet, hogy nem tudni, valóban meghekkelték-e

Merthogy egyáltalán nem biztos, hogy meghekkelték. Az is elképzelhető, hogy több nagy amerikai cég teljes adatforgalma egy ideig azért folyt át egy orosz szerveren, mert valaki bénázott.
 
Ehhez is a felhőszolgáltatások adják a nagy lökést, teret adva a kísérletezéshez.
A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.