Beveiligingsblunder Apple: inloggen zonder wachtwoord mogelijk

Apple-topman Tim Cook Reuters

Een ontwikkelaar heeft gisteravond een beveiligingsprobleem in macOS High Sierra gevonden, de laatste versie van het besturingssysteem voor Apple-computers. Hierdoor is het mogelijk om zonder wachtwoord in te loggen en zogenoemde 'administrator-rechten' te verkrijgen, waardoor je volledige toegang krijgt tot de computer.

Update 19:04 uur - Apple stelt software-update beschikbaar

Apple heeft eerder vanavond een verklaring uitgegeven, daarin biedt het bedrijf alle Mac-gebruikers excuses aan voor het beveiligingsprobleem. Apple is naar eigen zeggen gistermiddag (lokale tijd) op de hoogte gesteld van het lek en bracht vandaag om 08.00 uur (lokale tijd) een update uit.

Die is voor alle Mac-gebruikers nu te downloaden. Het bedrijf zegt daarnaast dat de update op alle Macs waar macOS High Sierra 10.13.1 op staat automatisch wordt geïnstalleerd.

Daarbij zijn er twee scenario's mogelijk. De eerste is dat malafide software, een virus dus, misbruik gaat maken van dit lek. "Dit is de meest ernstige variant", zegt beveiligingsonderzoeker Dave Maasland van ESET. "Dat komt doordat je dit op afstand kunt doen."

Kiezen voor 'andere gebruiker'

In het andere scenario is er wel fysieke toegang nodig tot de Mac, tenzij het delen van bestanden is ingeschakeld. De hack werkt daarnaast alleen als je bij het inlogscherm kunt kiezen voor 'Andere gebruiker', dit is het geval als er meerdere accounts op de computer staan of als de Gastgebruiker is geactiveerd. Als de computer is ontgrendeld, is het vervolgens via de Systeemvoorkeuren mogelijk om administrator-rechten te krijgen en onbeperkt je gang te gaan.

Klokkenluider Edward Snowden - die via Twitter met regelmaat van zich laat horen - vergeleek het lek met een deur die op slot zit, maar na een keer de hendel te proberen alsnog open gaat.

Zo’n lek wordt in de beveiligingswereld gezien als ernstig, omdat het erg makkelijk is om te misbruiken. Daarnaast klopt Apple zich graag op de borst een zeer veilig besturingssysteem te hebben. Met andere woorden: dan zou zoiets als dit niet mogen gebeuren. Een techjournalist van Forbes, die veel over beveiliging schrijft, noemt het al "mogelijk een van de meest beschamende lekken in de geschiedenis van Apple".

"Dit is wel een van de meest makkelijk uit te voeren lekken uit mijn carrière met potentieel grote gevolgen", aldus Maasland. Doordat de hele wereld - inclusief Apple - er op het zelfde moment van op de hoogte is gesteld - vreest hij misbruik van het lek.

Apple lijkt te zijn verrast door het lek. Degene die het ontdekte, stelde Apple er in het openbaar van op de hoogte, via Twitter. Dat is niet de gebruikelijke gang van zaken. Normaal gesproken als hackers een dergelijk probleem vinden, geven ze het bedrijf in kwestie eerst de tijd om het op te lossen. Doordat dit nu niet is gebeurd, kan er makkelijker misbruik van worden gemaakt.

Een woordvoerder van Apple heeft aan persbureau Bloomberg laten weten te werken aan een oplossing. Tot dat moment kan er gebruik worden gemaakt van een oplossing die handmatig moet worden ingesteld; de uitleg hiervan heeft Apple op zijn website gepubliceerd.