Finora non è stato un buon anno per la sicurezza del Mac, almeno per quanto riguarda le pubbliche relazioni, e sta per diventare molto più brutto: un Apple il programmatore ha dimenticato di disattivare un interruttore di debug nelle impostazioni di sicurezza di OS X 10.7.3 prima che l'aggiornamento fosse distribuito al pubblico.
Il risultato? Se stai utilizzando OS X 10.7.3, la tua password di accesso potrebbe essere archiviata in testo normale in una sezione non crittografata e facilmente accessibile del tuo disco rigido.
L'enorme SNAFU è stato scoperto dal ricercatore di sicurezza David Emery, il quale afferma che tutte le password di accesso degli utenti vengono memorizzato in un file di registro di debug a livello di sistema in testo reale in alcune distribuzioni dell'ultimo aggiornamento di sicurezza Apple per Lion, OS X 10.7.3.
Secondo Emery, questo è un problema serio, poiché questo file e tutte le password contenute all'interno possono essere facilmente accessibili da chiunque abbia accesso fisico o remoto al tuo computer:
Questo è peggio di quanto sembri, poiché il log in questione può essere letto anche avviando la macchina in modalità disco firewire e leggendolo aprendo l'unità come disco o avviando la partizione di ripristino new-with-LION e utilizzando la shell di superutente disponibile per montare la partizione del file system principale e leggere il file. Ciò consentirebbe a qualcuno di entrare in partizioni crittografate su macchine per le quali non aveva idea di password di accesso.
Peggio ancora, influisce sui backup di Time Machine su unità esterne e persino i computer che utilizzano Filevailt non sono al sicuro dall'accesso degli hacker al file di registro.
Secondo Emery, il modo migliore per proteggersi fino a quando Apple non correggerà tutto questo è utilizzare anche la crittografia dell'intero disco di Filevault 2 poiché la richiesta di una password del firmware per impedire agli hacker di accedere al disco avviando il computer in modalità disco FireWire.
Sembra improbabile che Apple non si affretti a risolvere questo problema nei prossimi giorni, ma all'indomani di Flashback, uno stupido pasticcio come questo è inopportuno. I consumatori stanno già iniziando a preoccuparsi che i Mac potrebbero non essere così sicuri come pensavano tradizionalmente. Apple non ha bisogno di aiutare questo argomento dimenticando di mettere nuovamente in sicurezza i sistemi dell'utente prima che inviino l'ultimo aggiornamento di OS X.
Fonte: Criptoma
Attraverso: ZDNet