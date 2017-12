John Gruber, schrijver en UI-ontwerper, heeft in een blogpost laten weten dat de root login-bug al langer bekend was onder ontwikkelaars, maar dat zij niet de moeite hebben genomen Apple in te lichten.

Gruber haalt in de blogpost verschillende berichten aan die twee weken eerder waren verschenen in het ontwikkelaarsforum van Apple. Verschillende ontwikkelaars hadden al sinds afgelopen zomer problemen met accounts (in combinatie met de WWDC developer beta van High Sierra) die administratorrechten verloren waardoor andere issues niet konden worden opgelost en instellingen niet konden worden aangepast.

"Workaround" blijkt bug

Er werd toen geopperd de Single-User mode in te schakelen en daarmee leek het probleem opgelost. Op 13 november werden er echter nog twee andere oplossingen aangedragen door een ontwikkelaar, die zichzelf chethan177 noemt. Ontwikkelaars konden deze "workaround" gebruiken om als root in te loggen en zo de andere accounts weer administratorrechten te geven. Deze handelingen zijn echter dezelfde die kwaadwillenden kunnen toepassen om misbruik te maken van de root-bug. Deze bug werd opgemerkt door een andere ontwikkelaar (Lemi Orhan Ergin) die aan de bel trok.

Puur toeval

De publicatie van de bug maakte veel los bij ontwikkelaars en gebruikers en ging als een lopend vuurtje de wereld over. Chethan177 zegt zich destijds niet gerealiseerd te hebben dat dit om een "full blown security issue" ging en dat hij uit pure frustratie probeerde in te loggen als root nadat hij op een ander forum had gelezen dat dit misschien zou werken. Zijn verbazing was groot toen hij erachter kwam dat dit daadwerkelijk het geval was en hij postte de oplossing op Apple's developer-forum om andere gebruikers met dezelfde problemen uit de brand te helpen. Chethan177 zegt dat hij zich niet meer kan herinneren op welk forum hij deze oplossing voor het eerst tegen kwam. "Het was puur toeval".

Dat niemand de moeite nam Apple in te lichten wordt niet alleen de forumleden kwalijk genomen, maar ook Lemi Orhan Ergin, de ontwikkelaar die het lek uiteindelijk via Twitter naar buiten bracht.