John Gruber, schrijver en UI-ontwerper, heeft in een blogpost laten weten dat de root login-bug al langer bekend was onder ontwikkelaars, maar dat zij niet de moeite hebben genomen Apple in te lichten.

Gruber haalt in de blogpost verschillende berichten aan die twee weken eerder waren verschenen in het ontwikkelaarsforum van Apple. Verschillende ontwikkelaars hadden al sinds afgelopen zomer problemen met accounts (in combinatie met de WWDC developer beta van High Sierra) die administratorrechten verloren waardoor andere issues niet konden worden opgelost en instellingen niet konden worden aangepast.

"Workaround" blijkt bug

Er werd toen geopperd de Single-User mode in te schakelen en daarmee leek het probleem opgelost. Op 13 november werden er echter nog twee andere oplossingen aangedragen door een ontwikkelaar, die zichzelf chethan177 noemt. Ontwikkelaars konden deze "workaround" gebruiken om als root in te loggen en zo de andere accounts weer administratorrechten te geven. Deze handelingen zijn echter dezelfde die kwaadwillenden kunnen toepassen om misbruik te maken van de root-bug. Deze bug werd opgemerkt door een andere ontwikkelaar (Lemi Orhan Ergin) die aan de bel trok.

Puur toeval

De publicatie van de bug maakte veel los bij ontwikkelaars en gebruikers en ging als een lopend vuurtje de wereld over. Chethan177 zegt zich destijds niet gerealiseerd te hebben dat dit om een "full blown security issue" ging en dat hij uit pure frustratie probeerde in te loggen als root nadat hij op een ander forum had gelezen dat dit misschien zou werken. Zijn verbazing was groot toen hij erachter kwam dat dit daadwerkelijk het geval was en hij postte de oplossing op Apple's developer-forum om andere gebruikers met dezelfde problemen uit de brand te helpen. Chethan177 zegt dat hij zich niet meer kan herinneren op welk forum hij deze oplossing voor het eerst tegen kwam. "Het was puur toeval".

Dat niemand de moeite nam Apple in te lichten wordt niet alleen de forumleden kwalijk genomen, maar ook Lemi Orhan Ergin, de ontwikkelaar die het lek uiteindelijk via Twitter naar buiten bracht.

"Responsible disclosure"

Ergin wordt door verschillende ontwikkelaars en beveiligingsexperts op de vingers getikt omdat de manier waarop het lek naar buiten is gebracht op z'n zachtst gezegd niet netjes is. Ergin had eerst contact op moeten nemen met Apple voordat hij het lek openbaar maakte. Dat had Apple meer tijd gegeven het probleem te onderzoeken en een patch te ontwikkelen.


Ergin heeft inmiddels in een blogpost laten weten dat hij dacht dat het probleem al was opgelost omdat informatie over deze bug al langer op fora rondzwierf. Ook meldt hij dat hij een software-ontwikkelaar en geen hacker of beveiligingsexpert is.

"Ik besloot Apple te informeren via Twitter. Het is een serieus probleem waar al enkele weken over werd gesproken op fora. Ik wilde alleen maar dubbelckecken met Apple of zij hiervan op de hoogte waren. Ik ben niet degene die de bug heeft ontdekt, maar de persoon die het probleem zichtbaarder heeft gemaakt door het te tweeten," aldus Ergin.

Er zijn inmiddels verschillende workarounds beschikbaar en Apple heeft een patch uitgebracht. Deze patch breekt in sommige gevallen echter de functionaliteit bestanden te delen over het netwerk. Gebruikers die de patch al hebben uitgevoerd kunnen het nieuwe probleem oplossen door de handelingen in dit artikel uit te voeren.