اگر شما MacOS High Sierra را اجرا می کنید، اجازه ندهید کسی در نزدیکی Mac شما قرار بگیرد. هر کسی می تواند به Mac شما وارد شود و سطح دسترسی مدیریت برای تغییر رمز عبور را به دست بیاورد، دسترسی به تمام اطلاعات موجود در حساب اصلی را داشته باشد و کاربر اصلی را قفل کند. خوشبختانه، یک پچ باید بتواند این مشکل را حل کند، همانطور که اپل دارد بر روی آن کار می کند.

اول، اشکال. این مورد به عنوان یکی از خجالت آور ترین آسیب پذیری ها در تاریخ اپل اشاره کرد، همه ی کاری که هکرها باید انجام دهند، آن است که به عنوان یک کاربر «دیگر» وارد سیستم شوند، برای نام کاربری «ریشه (root)» را وارد نمایند و رمز عبوری برای آن تایپ نکند.

Forbes آسیب پذیری را آزمایش کرد و به طور گسترده ای باز است، و اجازه تغییر رمز عبور برای دیگر حساب ها در Mac را می دهد. یافته های اولیه از Lemi Orhan Ergin، بنیانگذار نرم افزار Craftsmanship ترکیه است که اشکال را از طریق توییتر منتشر کرد.

اگرچه به طور معمول نیاز به دسترسی فیزیکی است و اگر مک را راه اندازی مجدد شود و یا رمزگذاری دیسک را فعال کرده باشد (و به همین دلیل نیاز به یک رمز عبور دیگر دارد) کار نخواهد کرد، حمله برخی از مسائل جدی را باز می کند. در حال حاضر دزد ها راهی ساده برای اپل مکینتاش که به سرقت رفته اند، در اختیار دارند، در حالیکه دولت اکنون می تواند به سرعت به هر دستگاهی که قبلا نمی توانشته وارد شود.

Wardle و سایر محققان خاطرنشان کردند حملات بدون دسترسی فیزیکی به دستگاه ها ممکن است انجام شود. اما هک کردن از راه دور تنها در جایی که ویژگی های به اشتراک گذاری روی صفحه روشن است کار می کنند. این امکان وجود دارد که آنها را با رفتن به بخش اشتراک گذاری تنظیمات سیستم آنها را بررسی کنید (و آنها را خاموش کنید).

یک تعمیر وجود دارد!

راه حل های این موضوع در حال آماده شدن هستند. موردی که Forbes امتحان کرده است، به نظر می رسد، کار کند. این مورد شامل باز کردن یک ترمینال و تایپ کردن دستور sudo passwd root است. سپس گذرواژه عادی کاربر را تایپ کنید و پس از آن به آنها اجازه می دهد تا رمز عبور را به حساب root اضافه کنید. دیگر کاربر غیر مجاز، قادر به ورود بدون دریافت اعتبار اضافی نخواهد بود.

Wardle به Forbes گفت که این واقعیت ثابت کرد که تأیید صحت بروز چه اتفاقی می افتد: اگر ریشه در MacOS High Sierra تنظیم نشده باشد، اپل یک حساب کاربری جدید در سطح مدیریتی بدون رمز عبور را هنگامی که به عنوان حمله در بالا مطرح می شود، فعال خواهد کرد.

سخنگوی شرکت اپل در بیانیه ای به صورت ایمیل گفت: "ما بر روی به روز رسانی نرم افزاری برای حل این مسئله کار می کنیم. در عین حال تنظیم رمز عبور ریشه مانع از دسترسی غیر مجاز به مک شما است. برای فعال کردن کاربر ریشه و تنظیم رمز عبور، لطفا از دستورالعمل در اینجا: https://support.apple.com/en-us/HT204012 استفاده کنید. اگر یک کاربر ریشه در حال حاضر فعال باشد، برای اطمینان از اینکه رمز عبور خالی تنظیم نشده است، لطفا دستورالعمل های «تغییر رمز عبور ریشه» را دنبال کنید."

پچ ارائه شد

اپل پچ را در تاریخ 29 نوامبر منتشر کرد. «خطای منطقی در تأیید اعتبار وجود داشت. این مورد با اعتبارسنجی بهبود یافته بود» اپل در مشاوره خود نوشت.

سخنگوی اپل افزود: "هنگامی که مهندسان امنیتی ما در مورد موضوع سه شنبه بعد از ظهر متوجه شدند، ما بلافاصله شروع به کار بر روی یک به روز رسانی کردیم که حفره امنیتی را خنثی می کند. امروز صبح، ساعت 8 صبح، به روز رسانی در دسترس برای دانلود قرار خواهد گرفت. و به طور خودکار بر روی تمام سیستم های در حال اجرا آخرین نسخه (10.13.1) از macOS High Sierra نصب خواهد شد.

"ما به شدت از این خطا پشیمانیم و از همه کاربران مک خود عذر می خواهیم، هم برای وقوع این آسیب پذیری و هم برای نگرانی ناشی از آن. مشتریان ما مستحق بهترین هستند. ما در حال بررسی پروسه های توسعه هستیم تا مانع از بروز اتفاقات این چنینی بشود."