2014-10-16
Nyhet

Rootpipe påstått säkerhetshål i OS X

Svenska säkerhetskonsulterna TrueSec har publicerat en film på Youtube där de visar vad som ska vara ett säkerhetshål i OS X. Enligt TrueSec har säkerhetshålet, som kallas Rootpipe, påverka versioner av OS X sedan version 10.8 och framåt.

Men det är några underliga saker med vad TrueSec påstår sig ha kommit på.

Filmen som jag länkar till ovan visar ett terminalfönster där man med kommandot id visar information om den nuvarande användaren:

Mac-Pro:Desktop joacimmelin$ id
uid=255844955(joacimmelin) gid=38988520(DC\Domain Users)
groups=38988520(DC\Domain Users),12(everyone),20(staff),
62(netaccounts),79(_appserverusr),80(admin),
81(_appserveradm),98(_lpadmin),401(com.apple.sharepoint.group.1),33(_appstore),100(_lpoperator),
204(_developer),
398(com.apple.access_screensharing),399(com.apple.access_ssh)

Inga konstigheter. I filmen kör TrueSec sedan någon form av script eller applikation som därefter gör att operatören i filmen kan köra id-kommandot igen och får då följande resultat:

Mac-Pro:~ root# id
uid=0(root) gid=0(wheel) groups=0(wheel),1(daemon),2(kmem),3(sys),4(tty),
5(operator),8(procview),9(procmod),12(everyone),20(staff),
29(certusers),61(localaccounts),80(admin),
401(com.apple.sharepoint.group.1),33(_appstore),
98(_lpadmin),100(_lpoperator),204(_developer),
398(com.apple.access_screensharing),399(com.apple.access_ssh)

Skillanden är att vad TrueSec gör i filmen inte redovisats. De berättar ingenting om vad denna påstådda bakdörr innebär utan använder säkerhetshålet för att marknadsföra sig.

TrueSec har enligt ett uttalande till Aftonbladet informerat Apple om säkerhetshålet.

Hur gjorde jag för att få resultatet ovan? Enkelt – jag gav sudo su - som kommando och angav mitt rootlösenord. Jag säger inte att det är så TrueSec har gjort det, men man undrar ju om denna bakdörr, om den verkligen existerar, beror på en säkerhetslucka i säkerhetsmodellen i OS X eller en säkerhetslucka i exempelvis Sudo.

Det finns ytterligare frågetecken runt Truepipe. Inga internationella sajter med inriktning på säkerhet har skrivit om Rootpipe. Ett par svenska mac-sajter och kvällstidningar har skrivit om detta, men bortsett från det?

Gör en sökning på Google och se själv hur många resultat du får upp.

Jag betvivlar inte att TrueSec är duktiga men att släppa denna nyhet ett par dagar före sitt egna säkerhetsevent och tills dess (gissar jag) inte avslöja någonting om vad detta säkerhetshål innebär är oansvarigt och oseriöst mot alla de som använder OS X professionellt.

Skärpning, TrueSec.© 2021 Omsoc Publishing AB