McAfee saboteert Mac-security door certificaatfout
Door abusievelijk een certificaat in te trekken heeft McAfee zijn Mac-klanten in de problemen gebracht. De beveiligingssoftware op OS X ziet legitieme Mac-applicaties opeens als onbetrouwbaar.
McAfee heeft per ongeluk een certificaat ingetrokken voor applicaties die op OS X draaien, meldt Ars Technica. Als een nieuwe installatie of upgrade van McAfee wordt uitgevoerd, worden applicaties die zijn getekend met dit certificaat niet meer als betrouwbaar gezien.
Applicaties opnieuw tekenen
Een week geleden voerde een systeembeheerder een upgrade uit aan de hardware waarbij de sleutel per ongeluk werd ingetrokken. McAfee ontdekte het probleem, dat sinds 6 februari speelt, afgelopen dinsdag en momenteel werkt het bedrijf eraan om Mac-applicaties opnieuw te tekenen met een geldig certificaat.
In de tussentijd kan McAfee op OS X de geldigheid van certificaten niet garanderen. Klanten die applicaties installeren, weten zo niet zeker of het programma betrouwbaar is.
Onbetrouwbaar toestaan
McAfee zou klanten adviseren tijdelijk ongetekende certificaten toe te staan als work-around voor het probleem, meldt Ars Technica. “Dit is niet iets dat we mensen zouden willen adviseren”, zegt McAfee-topman Barney Bryan tegen de nieuwssite. “Het is een work-around die zou werken, maar geen work-around waar we ons zeker bij voelen.”
Een soortgelijk advies volgde destijds van Diginotar na de hack bij Nederlandse certificaat-autoriteit. Daar waren daadwerkelijk een aantal certificaten onbetrouwbaar geworden, terwijl het bij McAfee om een administratieve fout gaat. Maar klanten kunnen nu ook niet meer zien of daadwerkelijk onveilige applicaties onbetrouwbaar zijn vanwege de false positives op applicaties die wél een goed certificaat horen te hebben.