Groot lek in Apple's besturingssysteem is van 'alarmerende simpelheid'
© EPA

Groot lek in Apple's besturingssysteem is van 'alarmerende simpelheid'

Het wordt het grootste Apple-lek in jaren genoemd: de laatste versie van Apple's besturingssysteem MacOS geeft onbevoegden totale toegang tot het systeem. Een wachtwoord is namelijk niet nodig.

Het simpelweg intikken van 'root' in het inlogveld en het leeglaten van het wachtwoordveld is voldoende. Na twee keer op 'unlock' klikken geeft Apple MacOS High Sierra zogenoemde root-toegang. Hiermee krijgt iedereen volledige toegang tot een Apple-systeem, inclusief mogelijkheden als het veranderen van alle wachtwoorden.

Hiervoor is het vooralsnog wel nodig dat deze figuur fysieke toegang heeft tot de computer, maar volgens experts staat hiermee de poort open voor de volgende stap: malware die gebruikmaakt van het lek. 'We zien altijd dat malware probeert om root-toegang te krijgen', zegt een beveiligingsonderzoeker van Synack tegenover Wired. 'Dit is de beste en eenvoudigste manier ooit om die toegang te krijgen, en Apple heeft het op een presenteerblaadje overhandigd.'

Dave Maasland van beveiligingsbedrijf ESET betitelt het als een 'zeer serieus lek': 'Een paar keer op een knop drukken en de voordeur gaat vanzelf open. Ik heb het bij mijn eigen Mac geprobeerd en dat is best heftig om te zien.' Ook Maasland waarschuwt voor de reële risico's van malware die zich van afstand root-toegang kan geven.

'Alarmerend'

The Verge noemt het lek van een 'ongelofelijk alarmerende eenvoud' en ArsTechnica rept van 'een van Apple's grootste veiligheidsblunders van de afgelopen jaren'. Het lek werd op Twitter gepubliceerd door een Turkse programmeur. Dat is overigens niet gebruikelijk: onder hackers is het gebruikelijk om lekken niet gelijk in de openbaarheid te brengen, maar eerst bij de fabrikant te melden.

Inmiddels heeft Apple een update uitgebracht voor zijn besturingssysteem. Die is te downloaden via de App Store, een vast onderdeel van het MacOS X. Wie geen toegang heeft tot de App Store kan het root-account beschermen met een extra wachtwoord. Dat moet handmatig gebeuren, aan de hand van deze Nederlandstalige aanwijzingen.