OS X Lion 10.7.3: un bug mostra le password FileVault

A causa d’un errore nella programmazione di OS X 10.7.3, in alcuni casi il Mac conserva in chiaro le password di Login degli utenti. Una svista che può consentire ad un malintenzionato di appropriarsi di informazioni personali e di accedere addirittura alle cartelle crittografate con la vecchia versione della tecnologia FileVault.

Il problema, scrive l’esperto di sicurezza David Emery, deriva da una semplice distrazione:

Qualcuno, per qualche ragione, ha lasciato attivo un flag di debug (DEBUGLOG) nell’ultima versione rilasciata di Mac OS Lion 10.7.3 che consente a HomeDirMounter […] di accedere ad un log di sistema con la password in chiaro della propria cartella Inizio crittografata (“legacy Filevault”), leggibile da chiunque possieda credenziali d’amministratore o di root. Il log in questione viene mantenuto di default per diverse settimane…

In pratica, chiunque possieda una password d’amministratore del sistema è in grado di reperire con facilità la password d’una cartella Inizio altrui crittografata con la vecchia tecnologia Filevault, e quindi di consultarne i contenuti. Un malintenzionato potrebbe sfruttare i backup di Time Machine per carpire la password e poi avvalersi della modalità Target via FireWire per avviare il computer e accedere ai file confidenziali.

In ogni caso, la minaccia riguarda esclusivamente quanti hanno effettuato un upgrade da Snow Leopard:

La vecchia tecnologia FileVault di OS X crittografava la cartella Inizio di un utente e lasciava intatto il resto del sistema, ma in Lion Apple ha rimpiazzato FileVault con una crittografia totale del disco, ribattezzata “FileVault 2.” Tuttavia, per ragioni di compatibilità, Apple supporta ancora il vecchio FileVault creato sugli account che poi sono stati aggiornati a Lion […]. Questo baco non colpisce quanti hanno acquistato un nuovo computer con Lion sopra, o quanti abbiano formattato il vecchio sistema e installato Lion.

In attesa che Apple metta mano alla cosa, per fortuna si può ricorrere ai suggerimenti di Topher Kessler. Innanzitutto, occorre effettuare un piccolo controllo: aprite Preferenze di Sistema, “Sicurezza e Privacy”, e infine “FileVault.” Se utilizzate la vecchia versione, un avviso vi informerà della cosa. A quel punto potreste disattivare del tutto la crittografia e, una volta terminata la conversione, riabilitarla; ciò basterà perché venga adottato il protocollo FileVault 2. Poi, però, ricordatevi di cambiare la password di login e magari, visto che ci siete, di cancellare anche i log di sistema. Cosa che può essere ottenuta con un copia incolla dei seguenti comandi nel terminale, e il gioco è fatto:

sudo rm -rf /var/log/*
sudo rm -rf /Library/Logs/*