Tvrtka za sigurnosno istraživanje tvrdi da je otkrila ozbiljnu grešku u najnovijem Appleovom operativnom sustavu Mac OS X sustav koji napadačima omogućuje promjenu lozinke vašeg sustava bez ikakvog znanja o njenoj postojećoj lozinka. Jedan istraživač kaže da je promjena Lionovog sustava provjere autentičnosti na neki način omogućila nekorijenskim korisnicima pregled podataka o raspršivanju lozinki.
Chester Wisnieski otkrio je u postu na stranici tvrtke Gola sigurnostblog da je Appleova odluka o korištenju usluge lokalnog imenika u OS X Lion dopustila nesigurnost dopuštenja:
„Napadač koji ima pristup prijavljenom Macu (lokalno, preko VNC/RDC, SSH itd.) Može promijeniti trenutno prijavljena korisnička lozinka bez poznavanja postojeće lozinke kao što bi inače bilo potreban. Povijesno (u Snow Leopardu) morali biste prvo unijeti svoju postojeću lozinku kako biste potvrdili da ste zapravo vlasnik računa. ”
“Ne samo da prijavljeni korisnik može promijeniti svoju lozinku bez znanja o postojećoj lozinci, već možete pročitati bilo koji hash lozinke drugih korisnika i pokušati ga grubo forsirati. To je osobito opasno ako koristite Appleovu novu enkripciju diska FileVault 2. Da je vaš Mac ostao otključan i da vam je netko promijenio lozinku, više ne biste mogli pokrenuti računalo i potencijalno biste izgubili pristup svim svojim podacima. ”
Wisniewski je rekao da greška također omogućuje napadačima da promijene lozinke i za druge korisnike.
Korisnici Liona nadati će se da će Apple uskoro popraviti sigurnosnu grešku, ali u trenutnoj beta verziji OS X 10.7.2, nedostatak je i dalje prisutan, kaže Wisniewski. Vrijedi zapamtiti, međutim, da bi vaš Mac bio ranjiv, napadači već moraju imati pristup vašem sustavu. Sve dok poduzimate mjere opreza da to spriječite, ne biste se trebali suočiti s nikakvim problemima.
Wisniewski preporučuje korištenje sigurne lozinke za sprječavanje napada grubom silom, osiguravajući da vaš Mac zahtijeva lozinku za otvorite ga sa čuvara zaslona, onemogućite automatsko prijavljivanje i upotrijebite ‘Hot Corner’ ili zaključavanje privjeska za ključeve kako biste osigurali zaslon.
[preko Macworld]