Ezért is maradhatott egy olyan bug az új rendszerben, ami felbukkanása esetén szinte kiordít a képernyőről. Az Apple azonnal javította a hibát.

Valószínűleg egyszerűen a fejlesztők figyelmetlenségére és a tesztelés felületességére vezethető vissza az az elképesztően banális hiba, amit egy brazil fejlesztő talált a MacOS legújabb kiadásában, a High Sierra kódnevű 10.13-as verzióban. A hibára véletlenül bukkant rá. Amikor új titkosított kötetet akart létrehozni, a rendszer egyszerűen kiírta az érvényes jelszavát a képernyőre. A jelenséget megvizsgálta, eredményeit eljuttatta az Apple-nek, amely ugyan nem reagált egyből, ellenben lényegében azonnal javította a hibát, ami az APFS-kompatibilitás miatt csak az SSD-s rendszereket érintette..

Az APFS körül van a kavar

Mint ahogy azt korábban megírtuk, megjelenésekor a biztonsági kutatók azonnal nekiestek az új MacOS-nek, és szinte azonnal találtak benne olyan hibákat, ami komoly támadási faktor lehet. (A MacOS estében azért is fontos tevékenység a hibakeresés, mert nagyon sok elkötelezett Apple-felhasználó még mindig abban a tévhitben ringatja magát, hogy az almás operációs rendszer atombiztos, nem fenyegetik vírusok, és hackertámadásoknak is jóval kevésbé van kitéve, mint a windowsos rendszerek.)

A mostani hiba meglehetősen banális, ráadásul az operációs rendszer egyik fontos újításának, az Apple File Systemnek (APFS) abban az összetevőjében található, melynek feladata a kötetek titkosítása. A funkció feladata ugye épp az lenne, hogy az új fájlrendszerre építve a felhasználók titkosítva tárolhassák bizalmas információkat tartalmazó állományaikat.

A brazil fejlesztő teljesen véletlenül bukkant a hibára. Létre akart hozni egy titkosított kötetet. Ekkor, élve a rendszer felkínálta lehetőséggel, nem csak jelszót, hanem jelszó-emlékeztetőt is megadott. A hiba nem ekkor, hanem dekódoláskor jelentkezett. Amikor hozzá akart férni a titkosított kötethez, a rendszer kérte a jelszót. A fejlesztő azonban – valószínűleg véletlenül – megnyitotta a jelszó-emlékeztetőt is, amiben ott virított a kötet jelszava, a karaktersor a maga nyers valójában. Érdemes végignézni az alábbi alig egyperces videót, hogy mennyire egyszerű az egész folyamat.
 


Alaposabb kutakodás után a szakember rájött, hogy ez a jelenség – súlyos probléma –, akkor, és csakis akkor jelentkezik, ha a felhasználó jelszó-emlékeztetőt is megad. Ha valaki tud élni emlékeztető nélkül is (valószínűleg a felhasználók többsége), nem fut bele ebbe a problémába, és jelszava nem is fejthető fel szimpla eszközökkel. Az egész annyira banális, hogy érthetetlen, miért nem bukkant ki a funkció tesztelése során (talán elmaradt ez a fázis?).

Az Apple azonnal lépett

Amilyen banális a hiba, annyira egyszerű a javítása is – természetesen annak, aki alaposabban ismeri az Apple operációs rendszerének a működését. Egy kutató például kiderítette, hogy akár a parancssoros diskutil nevű eszközzel is lehet módosítani a jelszó-emlékeztetőt, hogy későbbi megnyitáskor ne mutassa meg a titkosított kötet jelszavát. A diskutil lényegében egy lemezkarbantartó segédeszköz, amellyel a helyi lemezek (merevlemez, optikai diszk, APFS kötetetek stb.) szerkezetét lehet módosítani és menedzselni, amihez meg tudja mutatni többek között, hogy a lemezek hogyan lettek particionálva, hogyan szerveződnek, milyen a formátumuk stb.

Az Apple dicséretére legyen mondva, nagyon gyorsan lépett, soron kívül javította a problémát, ahogy a korábban feltár, a Keychainnel kapcsolatos problémát is orvosolta annyiban, hogy biztonságosabbá tette a Keychain-kezelést. (Mint megírtuk, ott az volt a gond, hogy a Keychaint rá lehetett venni arra, hogy a benne tárolt jelszavakat sima szövegként adja át.)

Biztonság

Így kell adatot törölni a GDPR szellemében

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

A GDPR miatt elvileg változik az adatok életciklusa, de a gyakorlatban nem feltétlenül. Aminek viszont kellene változnia, az a hazai szabályozás. Ezen a téren viszont nem állunk jól.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.