Não foi um bom ano para a segurança do Mac até agora, pelo menos em termos de relações públicas, e está prestes a ficar muito mais feio: um Apple o programador esqueceu de desligar um botão de depuração nas configurações de segurança do OS X 10.7.3 antes que a atualização fosse distribuída para o público.
O resultado? Se você estiver executando o OS X 10.7.3, sua senha de login pode estar armazenada em texto simples em uma seção não criptografada e de fácil acesso de seu disco rígido.
O enorme SNAFU foi descoberto pelo pesquisador de segurança David Emery, que afirma que todas as senhas de login do usuário estão sendo armazenado em um arquivo de log de depuração de todo o sistema em texto real em algumas distribuições da atualização de segurança mais recente da Apple para Lion, OS X 10.7.3.
De acordo com Emery, este é um problema sério, pois este arquivo e todas as senhas contidas nele podem ser acessados facilmente por qualquer pessoa com acesso físico ou remoto ao seu computador:
Isso é pior do que parece, já que o log em questão também pode ser lido inicializando a máquina no modo de disco firewire e lendo-o abrindo o drive como um disco ou inicializando a partição de recuperação new-with-LION e usando o shell de superusuário disponível para montar a partição do sistema de arquivos principal e ler o Arquivo. Isso permitiria que alguém invadisse partições criptografadas em máquinas para as quais não tinha ideia de nenhuma senha de login.
Pior, isso afeta os backups do Time Machine em unidades externas, e mesmo os computadores que usam o Filevailt não estão protegidos contra o acesso de hackers ao arquivo de log.
De acordo com Emery, a melhor maneira de se proteger até a Apple corrigir tudo isso é usar a criptografia de disco inteiro do Filevault 2 também pois exigir uma senha de firmware para evitar que os hackers tenham acesso ao disco inicializando o computador no modo de disco FireWire.
Parece improvável que a Apple não apresse uma correção para esse problema nos próximos dias, mas no rescaldo do Flashback, um erro estúpido como este é inoportuno. Os consumidores já estão começando a se preocupar com o fato de que os Macs podem não ser tão seguros quanto pensavam tradicionalmente. A Apple não precisa evitar esse argumento, esquecendo-se de tornar a proteger os sistemas dos usuários antes de enviarem a atualização mais recente do OS X.
Fonte: Criptoma
Através da: ZDNet