Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/05/2012
Una fallada en l'última actualització de Lion mostra les contrasenyes dels usuaris en text pla
Apple no guanya últimament per a problemes de seguretat. Esta vegada no és un programari maliciós com va ocórrer fa unes setmanes, sinó una vulnerabilitat que mostra en text pla (sense cap tipus de xifratge) les contrasenyes dels usuaris de Lion que tenen els seus directoris protegits amb FileVault.
FileVault és el sistema de xifratge de Mac: quan l'actives, tots els arxius del directori Home de l’usuari queden xifrats, i només pots accedir-hi amb la teua contrasenya d’usuari. Per a qualsevol altre usuari de l’ordinador, el teu directori personal serà totalment inaccessible.
Quan accedixes al teu Mac, FileVault usa la teua contrasenya per a muntar el teu directori personal, de manera que pugues accedir-hi com si no estiguera xifrat. El problema és que en l’última actualització de Lion es va activar un interruptor que fa que FileVault guarde la teua contrasenya d’usuari en el registre del sistema en text pla, registre que es manté sense esborrar durant dies.
Per què açò és roín? El registre del sistema està fora del teu directori personal, per la qual cosa no està xifrat. Llavors, qualsevol persona que tinga accés físic al teu ordinador pot veure la teua contrasenya i accedir a tots els teus arxius. Com? Muntant el Mac com un disc FireWire o usant la consola de la partició de recuperació de Lion, podria accedir al sistema de fitxers i trobar la teua contrasenya.
Llegiu la notícia completa en Genbeta