כאשר מפתח התוכנה למי אורהן ארגין התריע בפני אפל על כך שהוא וצוותו גילה ליקוי אבטחה עצום שאיפשרה לכל אחד לקבל גישת שורש למק עם macOS High Sierra מוקדם יותר השבוע, אפל מיהרה להגיב. תוך 24 שעות, החברה פרסמה עדכון אבטחה שתיקן את הבעיה.
טק. בידור. מַדָע. תיבת הדואר הנכנס שלך.
הירשם לחדשות הטכנולוגיה והבידור המעניינות ביותר שיש.
בהרשמה אני מסכים ל תנאי שימוש וסקרו את הודעת פרטיות.
אבל עכשיו, כשהאבק שקע והעדכון האוטומטי מתגלגל, חלק מבעלי ה-Mac שואלים כיצד הבאג הגיע מלכתחילה, וכמה זמן הוא היה פעיל עד שאפל גילתה אותו והתייחסה אליו זה. אבל עכשיו, הודות לפוסט על בינוני מארגין, נראה שיש לנו את התשובה לפחות לאחת מהשאלות הללו.
"לפני שבוע צוות התשתית בחברה בה אני עובד נתקל בבעיה בזמן שניסה לעזור לאחד מעמיתיי לשחזר את הגישה לחשבון המנהל המקומי שלו," ארגין מסביר. "הצוות שם לב לבעיה והשתמש בפגם כדי לשחזר את החשבון של עמיתי. ב-23 בנובמבר, אנשי הצוות הודיעו לאפל על כך. הם גם חיפשו באינטרנט וראו את הנושא שהוזכר כבר בכמה מקומות, אפילו בפורום המפתחים של אפל מה-13 בנובמבר. נראה היה שהבעיה נחשפה, אבל אפל עדיין לא שמה לב".
השרשור של פורום המפתחים של אפל שארגין מזכיר בפוסט שלו מרתק בפני עצמו. השרשור התחיל למעשה ב-8 ביוני, כאשר משתמש שעדכן לבטא WWDC של macOS High Sierra ניסה להבין מדוע חשבון הניהול שלו הפך לחשבון רגיל. כמה משתמשים שיתפו פתרונות פוטנציאליים, בעוד שאחרים צלצלו לציין שהם חווים בעיות זהות או דומות לאחר העדכון ל-High Sierra.
אבל אז, ב-13 בנובמבר, משתמש בשם "chethan177" החיה את השרשור עם הסבר מפורט על פתרון שנראה כמשקף את באג הכניסה לשורש, מה שמרמז שהבאג קיים לפחות שבועיים עד שארג'ין החליט לצייץ באפל כדי ליידע את החברה על הבעיה.
ברגע שהבאג הפך לציבור וכל בלוג טכנולוגי באינטרנט התחיל לסקר אותו, chethan177 חזר לשרשור כדי להסביר מדוע החליט לכתוב בשרשור וכיצד גילה את הבאג בראשון מקום:
היי חבר'ה,
לא הבנתי שזו בעיית אבטחה מלאה. פישלתי את אישורי הכניסה שלי בניסיון לשנות את מזהה התפוח שלי, והרי אני כבר לא מנהל.
ואז התחיל החיפוש המקיף שלי בכל הפורומים הקשורים לאפל לפתרון. ניסיתי הכל, לא עבד.
לגבי איך מעדתי על זה, התשובה פשוטה. תסכול טהור. קראתי באחד הפורומים שבו משתמש הציע שננסה להשתמש ב"שורש" עבור שם המשתמש ולהשאיר את שדה הסיסמה ריק. עשיתי, זה נכשל. מרוב תסכול, ניסיתי שוב, והרי הדבר **** פתח את נעילת חשבון הניהול שלי לרווחתי.
אחר כך פרסמתי את זה כאן בהנחה שמישהו תקוע בדיוק כמוני עשוי למצוא את זה שימושי. זה היה מקרי לחלוטין.
לרוע המזל, המשתמש chethan177 לא הצליח למצוא את מקור ההצעה לנסות "שורש" בתור שם המשתמש מבלי להזין סיסמה, אפילו לאחר חיפוש חזרה בהיסטוריה שלו, כך שאולי לעולם לא נדע מאיפה היא הגיעה מ. אבל בלי קשר, העובדה שהניצול הזה היה פעיל עבור לפחות שבועיים זה די מטריד.
פנינו לאפל לגבי שרשור הפורום, אך טרם קיבלנו תשובה.
