Home > Notícias

Brecha no Lion habilita mudança de senha sem autorização

Segundo Cnet e especialistas em segurança, novo sistema para Mac deixa que usuário local altere o código mesmo sem saber a combinação original

Macworld / Reino Unido

20/09/2011 às 11h37

Foto:

Uma falha no sistema Mac OS X 10.7 Lion pode permitir que senhas sejam alteradas sem o conhecimento do usuário.  Segundo o blog Defence In Depth,  o redesenho do sistema de autenticação do Lion de alguma forma permitiu a usuários "sem-root" a habilidade de visualizar códigos hash da senha.

Em um post no blog Naked Security, da Sophos, o especialista Chester Wisniewski disse que a está relacionada ao movimento da Apple em relação a um serviço de diretório local no Lion, que tem permissões configuradas de uma maneira insegura.

“Um invasor que tenha acesso a um Mac logado (localmente, via VNC/RDC, etc) pode mudar as informações na senha do usuário sem precisar saber a senha existente, como seria normalmente exigido. Historicamente (no Snow Leopard) você teria de primeiro digitar sua senha atual para verificar que é mesmo o dono da conta”, escreveu.

“Não apenas um usuário logado pode mudar sua senha sem precisar saber o códgio existente, como também é possível ler o código hash da senha de qualquer outro usuário e realizar tentativas por meio de ataques de força bruta. Isso é algo particularmente perigoso se você está usando o novo disco de criptografia FileVault 2 da Apple. Se o seu Mac foi deixado destravado e alguém mudou sua senha, você não poderia mais inicializar seu computador e potencialmente perderia acesso a todos os seus dados.”

Wisniewski disse que não conseguiu replicar as descobertas publicadas pela Cnet

Espera-se que essas informações estimulem a Apple a lançar uma solução em breve, após a companhia ter sido criticada por sua resposta tardia ao hack da empresa holandesa de certificados DigiNotar. Wisniewski recomenda o uso de uma senha segura para evitar ataques de força bruta; habilitar a proteção de tela e configurá-lo para te pedir sua senha; desabilitar o logon automático e usar a ferramenta “Hot Corner” ou o bloqueio do Keychain para travar sua tela.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail