Geekissimo

Mac OS X Lion, per un errore di programmazione le password vengono mostrate in chiaro

 
Martina Oliva
7 Maggio 2012
3 commenti

Mac OS X Lion password in chiaro

Stando a quanto emerso nel corso delle ultime ore Mac OS X Lion 10.7.3, ovvero l’ultima versione del sistema operativo Apple, presenterebbe una grave vulnerabilità relativamente alla funzione FileValut.

Nel dettaglio, secondo quanto reso noto dal ricercatore di sicurezza David Emery, uno sviluppatore Apple ha lasciato attiva, in maniera inavvertita, la modalità di debug del codice che memorizza in un file di testo tutte quelle che sono le password di login degli utenti.

FileValut, infatti, è la tecnologia che viene impiegata sui computer Mac per effettuare la crittografia delle directory.

In tal modo, quindi, il file di log in cui risultano memorizzati i dati di debug può essere letto senza alcun tipo di problema effettuando il boot del sistema tramite un disco collegato mediante Firewire.


Considerando che il file in questione si trova all’esterno dell’area cifrata è dunque sufficiente effettuare un accesso come superuser per poter individuare tutte le credenziali di login degli utenti.

Oltre alle password anche i backup eseguiti mediante Time Machine sono affetti dalla vulnerabilità in questione poiché sono state create delle copie di sicurezza che, appunto, vanno ad includere il file di log incriminato.

Nello specifico, ad essere a rischio sarebbero tutti quegli utenti che hanno attivato tale funzionalità e che hanno effettuato l’aggiornamento dalla precedente versione dell’OS a differenza di coloro che, invece, si servono di FileValut 2 di OS X 10.7 poiché ad essere cifrato è, in questo caso, l’intero disco.

La soluzione migliore, almeno per il momento, per correre al riparo dalle possibili conseguenze di questo grave errore di programmazione consiste nel procedere alla modifica della password considerando che un eventuale aggiornamento di Apple non andrà ad eliminare il file di log delle copie di backup e tenendo anche conto del fatto che a partire dal momento del rilascio di Mac OS X Lion 10.7.3 le password in chiaro potrebbero essere state archiviate su svariati supporti.

Photo Credits | Flickr

Via | ZDNet

Potrebbe interessarti anche
Articoli Correlati
Mac, un malware cattura screenshot e li invia su server remoti

Mac, un malware cattura screenshot e li invia su server remoti

A conferma del fatto che il mondo Mac, così come ha insegnato il caso Flashback, non è da considerare come inviolabile e completamente estraneo agli attacchi malevoli, un nuova minaccia, […]

Mac, scovato un nuovo malware che mostra pubblicità non gradite

Mac, scovato un nuovo malware che mostra pubblicità non gradite

Pur essendo più sicura rispetto ad altre, la piattaforma Mac, così come il caso Flashback insegna ed a differenza di quanto è stato fatto per anni, non è sicuramente da considerare […]

Le chiavette 3G e 4G possono mettere a rischio la sicurezza dell’OS

Le chiavette 3G e 4G possono mettere a rischio la sicurezza dell’OS

Nel software precaricato su quelle che sono le comunissime chiavette utilizzate a mò di modem per connettersi ad internet sono presenti numerose vulnerabilità che, a quanto pare, possono essere sfruttate […]

Apple aggiorna OS X Lion: il bug di FileVault è stato corretto

Apple aggiorna OS X Lion: il bug di FileVault è stato corretto

Proprio pochi giorni fa è venuta a galla l’esistenza di una grave vulnerabilità su Mac OS X Lion 10.7.3 relativamente alla funzione FileValut e all’archiviazione in chiaro delle password di […]

Lasciamoci il BIOS alle spalle: Arriva EFI

Lasciamoci il BIOS alle spalle: Arriva EFI

EFI (Extensible Firmware Interface) è considerato da molti il futuro del BIOS,il firmware utilizzato da sempre nei PC IBM compatibili.EFI, tecnologia originariamente sviluppata da Intel, ha fatto la sua prima […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1Anima

    Il programmatore in questione sarà mandato in una fabbrica apple e condannato a sopravvivere come schiavo da catena di montaggio.

    7 Mag 2012, 12:50 pm Rispondi|Quota
  • #2Geekone

    Ma quante belle notizie arrivano di questi tempi prima si poteva dare la colpa a java per il malware, ed ora?

    7 Mag 2012, 2:08 pm Rispondi|Quota
  • #3aid85

    Che filevault facesse un pò pena nn l’ho mai dubitato.
    Finalmente qualke grossa news “ufficiale” che lo conferma…

    Vogliamo parlare della “ragionevolissima” scelta di NON cifrare i backup su NAS ?
    Di nn supportare iscsi per aggirare tale mancanza?

    Ah se solo ci fosse un buon PgP wde o TrueCrypt wde comodo per osx…

    8 Mag 2012, 12:18 am Rispondi|Quota