Säkerhetsforskaren Csaba Fitzl på Offensive Security har upptäckt en säkerhetsbrist i Mac OS som gör det möjligt för standardkonton att läsa alla filer på hårddisken, inklusive filer som tillhör andra användarkonton och filer som skyddas av Catalinas integritetsskydd.

Apple påstår sig ha täppt till felet, men för att ”fixen” ska fungera måste Full skivtillgång vara avstäng för Terminal (och eventuella andra terminalprogram som Iterm). Men de allra flesta Macanvändare som regelbundet använder en terminal har Full skivtillgång påslaget eftersom de faktiskt vill komma åt hela hårddisken själva.

Vad dessa användare förmodligen inte vill är att någon annan som använder datorn med ett standardkonto ska kunna läsa alla deras filer. Men det är just vad Apple har sett till att de kan göra. Och eftersom Full skivtillgång är en systeminställning för hela datorn kan du inte aktivera det enbart för ditt adminkonto.

Felet ligger i kommandot mount_apfs som används för att montera volymer med Apples nya filsystem apfs, i kombination med apfs-funktionen snapshots som huvudsakligen används för att effektivisera Time Machine.

Vilken användare som helst kan nämligen skapa en ny snapshot och montera den med flaggan ’noowners’ som gör att hela systemet med Unix-behörigheter åsidosätts. Sedan är det bara att läsa övriga användares filer. Om Filevault är aktiverat fungerar detta inte via gästkonton utan enbart standardkonton.

Innan Apples ”fix” behövde Full skivtillgång inte ens vara påslaget för terminalen, så det gick över huvud taget inte att skydda sig.

Apple har skrivit till Csaba Fitzl att ingen ytterligare åtgärd kommer göras, och menar att användare bör stänga av Full skivtillgång för alla terminalprogram, men det är knappast en säker lösning eftersom så många användare använder den inställningen med flit och knappast räknar med att det kommer öppna för andra konton att läsa alla deras filer.

Dessutom innebär det att ett program som du ger Full skivtillång till av någon annan orsak plötsligt kan läsa alla andra användares filer, oavsett vilken användare som är inloggad och utan att be om adminlösen.

En säkrare och vettigare lösning vore att mount_apfs antingen helt kräver root-behörighet (via sudo-kommandot) eller kräver det för att aktivera ’noowners’-flaggan. Konton som inte har sudo-rättigheter ska helt enkelt aldrig komma åt några filer som tillhör andra användare, det bryter fundamentalt mot hela Unix-modellen.

Förhoppningsvis tar Apples utvecklare sitt förnuft till fånga och rättar till detta ordentligt. Tills dess kan vi bara rekommendera att den som administrerar en Mac med flera användare stänger av Full skivtillgång för Terminal, Iterm och andra terminalprogram, och bara aktiverar det tillfälligt de gånger det verkligen behövs.