Så står vi her igen, Apple-universet, hvor software, der skulle spare os tid, i stedet smider nøglen til vores digitale katedraler ud på det åbne internet. Fastlane – elsket og brugt af titusindvis af iOS-udviklere for at automatisere app-udgivelser til App Store – har netop forårsaget en sikkerhedsbrist af dimensioner. Og ja, det handler om, at Apple-id’er og adgangskoder kan ende hvor som helst.
Hvis du tænker: "Det kan da ikke passe, at vi i 2025 stadig diskuterer adgangskodelæk fra udviklerværktøjer?", må vi skuffe. Ifølge rapporten på GitHub lagrer Fastlane i nogle tilfælde Apple-id og adgangskoder ukrypteret eller logger dem utilsigtet – endda potentielt i offentlige logs. Ja, det er præcis så slemt som det lyder.
Hvorfor er dette ekstra pinligt? Fordi hele pointen med Fastlane er sikker, smart og effektiv automatisering. Men hvis "smart" inkluderer at sende dine Apple login-data ud, så får "effektiv" pludselig en bismag af ransomware og identitetstyveri.
Fastlane brugere i kommentarfeltet påpeger, at deres adgangskoder muligvis allerede svæver rundt i logs og CI/CD pipelines, hvor alt fra bots til jeres 16-årige sommerpraktikant kan snuse dem op.
- Der er allerede rapporteret konkrete eksempler på credentials synlige i logs.
- To-faktor autentificering (2FA) hjælper, men langt fra altid – især hvis nogen får adgang til sessions eller keychains.
- Sagens problematik diskuteres nu ivrigt på Hacker News, men løsningen lader vente på sig.
Er du Apple-udvikler, og har du brugt Fastlane til at pushe apps til App Store Connect de seneste måneder? Så kaster du dig sikkert febrilsk over dit keychain nu. Og ja, det bør du – såvel som at læse mere om credential management og måske tjekke alternativer på We❤️Apple.
Apples eget sikkerhedsimage har lidt under de seneste måneders afsløringer, men her er det altså en open source-værktøjskæde, bygget udenom Apple selv, der stikker kniven ind. Ikke desto mindre får Apple skylden til sidst – for hvis udvikler-værktøjet ikke kan håndtere adgangsdata ordentligt, hvem kan så?
Der er meldinger om, at Fastlane-udviklerholdet nu har travlt med at lappe hullerne. Om brugernes tillid kan nøjes med en hurtig pull request, er dog mere tvivlsomt. Husk at skifte alle adgangskoder, og tilføj lidt ekstra salt på kanterne af din keychain denne gang.
Og til jer, der stadig manuelt taster Apple-id og adgangskoder ind som om det var 2011: Måske er dette det sidste spark, du behøver, for endelig at tage sikkerhed alvorligt – især når det gælder Apple-økosystemet, hvor detaljen og perfektionen burde være i højsædet.
Dela: