Le password di Lion sono (troppo) facili da cambiare

Una importante falla nelle sicurezza di Lion permette ad un utente qualunque di modificare tutte le password di sistema senza neppure necessità di un crack.


Nelle scorse ore è emerso un serio problema di sicurezza a cui Apple, scommettiamo, metterà mano quanto prima. In buona sostanza, a causa della corruzione nella struttura della sicurezza in Lion, qualunque utente comune -anche non amministratore, purché con accesso fisico al Mac- può cambiare a proprio piacimento le password utente. Esatto, può modificarle senza neppure doverle “crackare”.

Il problema, scoperto da quelli Defence in Depth, è relativamente semplice da spiegare ma molto insidioso. In pratica, in OS X Lion i Servizi Directory non richiedono più l’autenticazione durante un cambio di password per l’utente corrente:

Sembra che un re-design dello schema di autenticazione in OS X Lion abbia accidentalmente rimosso uno step cruciale. Se da una parte per gli utenti non-root risulta impossibile accedere direttamente agli shadow file, dall’altra Lion consente loro di prendere visione dell’hash della password. Ciò è possibile con una semplice estrazione di dati dai Servizi Directory.

In altre parole, ciò implica che un utente con le conoscenze giuste, qualche riga di comando da Terminale e 5 minuti liberi col Mac è in grado di modificare tutte le password di sistema e senza neppure la necessità di conoscere prima quella di amministratore.

In attesa che Apple risolva la questione, il consiglio -almeno negli ambienti meno sicuri- è di disabilitare il login automatico e magari impostare per il Portachiavi una password diversa da quella di login. Infine, potrebbe rivelarsi efficace l’abilitazione dell’impostazione “Richiedi password immediatamente dopo lo stop o l’avvio del salvaschermo” in “Preferenze di Sistema”, “Sicurezza e Privacy.” Ciò vi costringerà a immettere le vostre credenziali un po’ più spesso, ma almeno limiterà i danni fintanto che Cupertino non rilasci un aggiornamento ad hoc. Fino ad allora, l’unico Mac sicuro è un Mac perennemente tenuto d’occhio.

Ti potrebbe interessare