苹果开发人员犯低级错误，macOS系统无需密码解锁造成隐患

就在写这篇文章之前，我在与苹果的客服人员在沟通Appstore下载速度问题，在它们提供的重置网络设置方法无果后，我再次像往常一样自给自足解决技术问题，而且我在发现解决方法后，将方法反馈到了苹果。

我不知道能否帮到同样拥有DNS解析问题的其他“果粉”，但是我知道我在编写教程的同时发现此类问题可追溯到2013年，也就是说同样的问题，苹果官方一直没有收录，如此简单的网络问题苹果都无法通过看似严谨的反馈程序帮助用户，曝光出macOS High Sierra重大、低级漏洞也就可以想象的通了。

 macOS爆出重大漏洞，影响最新系统用户

 在昨天（29日），一系列科技媒体报道了macOS High Sierra 账号管理漏洞，因为苹果开发人员编程的粗心大意，更新了macOS High Sierra的用户将暴露在威胁当中。

不用密码就能进入电脑

此漏洞源于开发人员将系统最高管理员账号（Root）权限暴露并且密码留空。

学过编程的人都知道此账户的威胁性，以至于大多数系统都是默认隐藏，需要从命令行界面一系列操作才能开启，而将此账户暴露并留空，意味着任何人都可以用单独四个字母的root账户解锁你得电脑，并有权更改一切设置、查看一切资料。

同样，黑客通过远程登陆，也可以实现一对多的监视、操控。几乎你的电脑相当于仍在了大街上还没设置密码。

而且此问题从WWDC发布后不久就暴露出端倪：2017 年 6 月 5 日，macOS High Sierra 正式推出并免费向绝大多数 Mac 用户推送。而根据硅星人（科技媒体）的查证，最早在今年 6 月 7 日——新系统推出两天后——就有用户在苹果开发者论坛留言：升级到 macOS High Sierra，系统里原来的两个管理员账户全都变成普通用户了。

该媒体猜测，很可能当时升级进行了一个很蹊跷的动作：降低现有管理员用户的权限，然后静默创建一个新的管理员用户。

苹果为什么要这样做？或许，这是苹果想为公司 IT 设置的捷径，方便他们远程管理员工的电脑；也有可能，这是苹果想给自己留的捷径，以便推送一切重要的安全更新，或者其它东西。

但是这个问题并没有得到足够重视，直到一位名为Lemi Orhan Ergin 通过 Twitter @Apple，用一个带有“HUGE”的字眼提醒到了苹果，今天苹果已经通过系统补丁方式及时修补了这一低级错误。

小学生都能破解你的电脑，苹果安全形象受损

一直以来，苹果就以mac的安全性而骄傲，时常在Windows出现安全风险后嘲讽对手，但是mac此次暴露出的问题让人直呼“脑子进水”。

近几年来苹果对mac产线的动作寥寥，没有很好针对用户呼声加入时下别家都有的功能（触控屏、键盘、系统体验等等），引发了“果粉们”的一致吐槽。

实际上，苹果是对于自家安全问题过于自信了。在一期《新闻调查》节目当中，白帽子的故事给大多数普通人打开了一扇了解他们的窗户，现代国内外互联网公司对安全问题的重视程度一直在上涨，很多公司如微软、Google、 Adobe都有提交bug给予现金和署名激励形势。

虽然苹果在iOS上拥有捉虫悬赏 (bug bounty)机制鼓励大家提交漏洞，但是在mac上去没有类似机制。

在白帽子黑客看来，即便在系统更新中署名也是一种激励，他们希望有人认同自己的劳动成果而已，很多就职于安全部门的白帽子黑客并不缺钱花。

谈及苹果的自大，也不得不说一下中国网络公司的情况，在《新闻调查》栏目两集的系列节目当中，中国白帽子们对国内互联网公司的bug提交热情并不低，并愿意在保守的环境中不断的普及这一制度和文化。

但是，很多互联网企业有着前现代的官场思维，认为这是一种耻辱。在bug挑战赛上，很多互联网公司愿意以一切办法组织这种“丢人的事情发生”。

只要挑战者愿意不发布bug，会以数十万奖金收买，收买不成就一纸律师函告你，称这是黑客行为。

我觉得，在网络安全情况日益严峻的当下，很多互联网企业应该有这个意识，不要等到几亿用户数据泄露完在黑市上卖的时候才想起来修补漏洞。

wwwgx2016∣互联网观察

每天精选深度互联网业内文章

整理最新互联网业界资讯，欢迎分享

长按，识别二维码，加关注

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/