Chiunque può modificare le password di Lion

Scoperta dagli autori del blog Defence in Depth, una svista nella struttura dei permessi in OS X Lion fa tremare gli utenti; attraverso di essa, infatti, chiunque cui sia garantito l’accesso fisico al Mac può modificare le password di sistema. Anche quelle degli altri utenti, e anche se non conosce la password di amministratore.

È una questione tutt’altro che marginale. In pratica, sebbene agli utenti comuni non sia normalmente concesso l’accesso diretto agli shadow file, ovvero ai file che contengono le password crittografate, è tuttavia possibile ricavarsi l’hash e il sale delle password con una semplice estrazione dati dai Servizi Directory. Una cosetta, per intenderci, da neppure 5 minuti che non richiede particolari conoscenze né un curriculum da cracker. Esiste perfino un proof-of-concept e chi l’ha provato conferma che funziona perfettamente, il che significa che d’ora in avanti i nostri Mac sono un poco meno sicuri.

A questo punto e in attesa che Apple metta definitivamente mano alla questione, non resta che sgranare gli occhi e controllare a vista il proprio computer, un cimento che non sempre è possibile portare a termine, soprattutto se siamo costretti a lasciarlo repentinamente incustodito. Una buona idea potrebbe consistere nel disabilitare il login automatico e magari rimuovere l’account guest. Poi, sarà il caso di abilitare la password in seguito allo sleep e allo screensaver, e infine revocare i privilegi di amministratore laddove non strettamente necessari.

Volendo, si potrebbe persino limitare l’accesso al Terminale coi “Controlli Censura” presenti nelle Preferenze di Sistema; si tratta di una misura un filo drastica ma in fin dei conti non traumatica per la stragrande maggioranza degli utenti che mediamente ne ignorano perfino l’esistenza. Per il resto, occhio al Mac e a chi vi si avvicina, siete avvisati.