Enquanto grande maioria das falhas de segurança exploradas com o OS X tenham origem em aplicativos de terceiros (alô Adobe Flash e Java), vez ou outra uma falha no próprio sistema é descoberta, para o desgosto de quem é fã da plataforma. Uma dessas falhas apareceu no final de semana e ela é consideravelmente séria: ela grava o login e senha de usuários em um arquivo de texto, completamente desprotegido.

A vulnerabilidade está restrita a algumas configurações específicas e foi relatada no começo do mês pelo pesquisador de segurança David Emery na lista Cryptome. Segundo ele, com a atualização 10.7.3 para o OS X a Apple ativou um log de debug para todo o sistema, que por algum motivo grava o login e senha dos usuários no próprio log, em texto puro. O pessoal do ZDNet acabou descobrindo que um usuário da Apple já havia relatado esse erro no fórum da empresa há meses.

Ao que parece, a vulnerabilidade atinge sistemas em que o usuário usava a criptografia FileVault no seu HD antes de atualizar para o OS X Lion, atualizou para o OS X Lion e não está usando o FileVault 2. Nessas configurações, os arquivos protegidos não estão tão protegidos assim.

A pior parte vem agora: esse log está em uma área desprotegida, que pode ser acessada por qualquer pessoa com login do Mac em questão. Ou pior ainda, conectando o HD do Mac via Firewire. O log é mantido por apenas algumas semanas, então quem atualizou na época em que o update 10.7.3 foi liberado provavelmente tem mais senhas armazenadas do que quem fez a atualização ontem apenas.

Agora que boa parte do mundo já sabe que essa falha existe, é bem provável que a Apple libere uma correção de segurança para tapar o buraco. Que não deveria estar lá para começar.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

YanGM
Software da @pple para windows é um lixo,mas isso era de se esperar dessa empresa de Cupertino.
Marcus
Quando acontece, não; talvez quando acontecer! Até hoje backdoors que afetaram grande número de usuários causaram danos indiretos à terceiros, não ao usuário :)
Luandersonn
Também pensei nessa possibilidade, mas as soluções de proteção da empresa para Mac são gratuitas.
Luandersonn
Exatamente, mas isso é grave, porque quando os ataques acontecem, o estrago é grande, já que a correção é tardia. Não amo o Mac
Marcos
Que isso amiguinho?!! Passei por todos esses Windows ( e ainda tenho o Ubuntu em maquina virtual ) não da pra comparar com o Mac OS de jeito nenhum.
Yangm
O Safari para Windows é assim, só que ao contrário. Como todo software da Apple feito para windows. Cara, você estava defendendo um software com unhas e dentes... só fanboy faz issso. Isso sem falar que usar a foto do sistema como avatar é marca registrada dos fanboys. Se não for fanboy é dumbuser, e como dumbuser não tem tanta capacidade para escrever textos desse tamanho continuo tendo a mesma opinião: você é fanboy.
anderson duarte
A falha realmente existe, mas não como relatada. Dando a entender que TODOS os usuários estão expostos. Nenhum sistema é impenetrável, nem mesmo o Mac OS X, porém uma coisa é fato, o sistema de permissões de um Unix, por mais engessado que possa parecer, é muito simples, porém funciona. Tem quem ache que resetar uma senha no Linux é moleza, porque tudo fica simplesmente em um arquivo. (/etc/passwd e /etc/shadow) bastando ter em mãos um LiveCD. O grande dilema é: Dá pra fazer? Sim e é muito simples de fato, MAS (sempre tem um mas) vc tem que ter acesso físico a maquina pra poder fazer, ou como o post sugere, ligar o HD via Firewire, dar o Boot pelo CD, dar 3 pulinhos com o dedinho do pé esquerdo com uma fita vermelha e por aí vai... Coisa tosca, né? Tendo acesso físico a maquina tudo é possível, agora explorar remotamente (isso o Windows é fera!) é completamente diferente. Estão doidos para provar que o Mac é pior/melhor/igual ao Windows. Eles só esquecem que ali por baixo da capa bonita roda um Unix, que funciona como um unix. Sistema que já provou por diversas vezes que é bom, funcional, simples e a depender do ponto de vista, "seguro". Bom, pra ter acesso a senha do usuário é simples, acesso físico a maquina você já tem, basta agora TER a senha de administrador e o pulo do gato, a SUA maquina tem que estar em um domínio! Isso mesmo, em um domínio! No exemplo dado o sujeito tem um domínio com o Mac OS X Server Snow Leopard (10.6) usando o OpenDirectory para login dos usuários do domínio. Então a questão é: É um BUG? Sim. É crítico? Sim. Será que vai afetar muita gente? Resposta complicada, se vc conhecer alguém que tenha um Mac OS X num domínio, esse cara poderá ser afetado. Isso é uma desculpa? Não, porque com certeza existe gente que se encaixa no perfil e não deve tolerar esse tipo de coisa, mas é como falei lá acima, mesmo inserido neste contexto, o cara ainda tem que ter a senha de administrador da máquina!! WTF? Será que os Admins da rede vão revelar a senha de administrador da máquina? No mais, pra quem usa a máquina fora do domínio (99% dos usuários), a senha não aparece.
@garibeirobr
oi ?
Marcus
O que ele fez foi exatamente reduzir segurança à resposta de ação a um ataque, isso é um erro grave em QUALQUER ambiente, tipo, hoje a resposta de ação à um atentado terrorista no Iraque é mais rápida que a resposta da Holanda, isso faz do Iraque um país menos vulnerável à ataques terroristas e melhor para se viver? Mac <3
Marcus
Deixa de ser recatado, ter bom gosto não é vergonhoso :D
Marcus
*fases
Marcus
Na verdade é mais um descaso, pois só afeta usuários que migraram para o Lion à partir do Snow Leopard, usavam nele o FileVault, não migraram para o 2 e instalaram a última atualização, ou seja: é bem reduzido... como o FV2 faz agora criptografia de todo disco, aposto que ninguém lembrou desse cenário durante o desenvolvimento da atualização (que tem várias fazes de teste na Apple e por desenvolvedores).
Gabriel Arruda
@Luandersonn Claro, o que move um true-hacker é o desafio. Ninguém melhor que a Sony para explicar isso. :D
Ramon Melo
Pode até ser verdade, mas você está falando por si mesmo. O Mac é bonzinho, mas não é nem metade do que dizem dele. Muita gente migrou do XP, Vista ou até mesmo o W7 Starter/Home Basic e, por isso, acha a interface do Mac genial. Quem migra do Ubuntu ou do W7 Pro/Ultimate não costuma ter a mesma opinião.
Luandersonn
Está para nascer um sistema invulnerável.
Exibir mais comentários