Una società di ricerca sulla sicurezza afferma di aver scoperto un grave difetto nell'ultimo sistema operativo Mac OS X di Apple sistema che consente agli aggressori di modificare la password di sistema senza alcuna conoscenza della sua esistenza parola d'ordine. Un ricercatore afferma che una modifica al sistema di autenticazione di Lion ha in qualche modo consentito agli utenti non root di visualizzare i dati sull'hash delle password.
Chester Wisnieski ha rivelato in un post sull'azienda Sicurezza nudablog che la decisione di Apple di utilizzare un servizio di directory locale in OS X Lion ha lasciato le autorizzazioni non sicure:
“Un utente malintenzionato che ha accesso a un Mac connesso (localmente, su VNC/RDC, SSH, ecc.) è in grado di modificare il la password dell'utente attualmente connesso senza conoscere la password esistente come sarebbe normalmente necessario. Storicamente (in Snow Leopard) avresti dovuto inserire prima la tua password esistente per verificare di essere effettivamente il titolare dell'account.
“Non solo un utente che ha effettuato l'accesso può modificare la propria password senza conoscere la password esistente, ma è anche possibile leggere l'hash della password di qualsiasi altro utente e fare tentativi di forzatura bruta. Ciò è particolarmente pericoloso se si utilizza la nuova crittografia del disco FileVault 2 di Apple. Se il tuo Mac rimanesse sbloccato e qualcuno cambiasse la tua password, non saresti più in grado di avviare il tuo computer e potenzialmente perderesti l'accesso a tutti i tuoi dati".
Wisniewski ha affermato che il difetto consente anche agli aggressori di modificare le password anche per altri utenti.
Gli utenti di Lion sperano che Apple rilasci imminentemente una correzione per il difetto di sicurezza, ma nell'attuale OS X 10.7.2 beta, il difetto è ancora presente, secondo Wisniewski. Vale la pena ricordare, tuttavia, che affinché il tuo Mac sia vulnerabile, gli aggressori devono già avere accesso al tuo sistema. Finché puoi prendere precauzioni per evitarlo, non dovresti affrontare alcun problema.
Wisniewski consiglia di utilizzare una password sicura per prevenire attacchi di forza bruta, assicurandosi che il tuo Mac richieda una password per aprilo dallo screensaver, disabilitando il login automatico e usando un 'Hot Corner' o un lucchetto Portachiavi per proteggere il tuo schermo.
[attraverso Macworld]