Bug de Mac OS X Lion 10.7.3 expone la contraseña de sus usuarios

Se acaba de descubrir de manera accidental un bug del sistema de usuarios Mac OS X 10.7.3 gracias al cual se pueden conocer las contraseñas de los usuarios del sistema debido a que se almacenan en un fichero sin cifrar, en lo que se conoce como texto plano y que está al alcance de cualquier usuario.

La vulnerabilidad se produce en equipos con el sistema de cifrado FileVault, activando un archivo de registro de depuración fuera del área de cifrado y que contiene contraseñas del usuario en texto, fácilmente visibles.

Aunque FileVault 2, la nueva versión del sistema cifrado publicada en Mac OS X 10.7, no es vulnerable a este error, no son pocos los que utilizan la primera versión incluso tras actualizar su sistema a ‘Lion’.

El problema puede ser grave especialmente en empresas donde FileVault es muy utilizado. Al no estar bajo la protección del sistema de cifrado, el acceso a las contraseñas es trivial, de forma directa al equipo físico, arrancando en modo FireWire, usando la consola de la partición de recuperación y también accediendo a unidades externas con copias de seguridad bajo Time Machine, y que guardan el log con las contraseñas en texto plano.

Con todo, lo peor del asunto es que esta vulnerabilidad fue descubierta en el mes de febrero y Apple todavía no la ha corregido. Un retraso que ya causó fuertes críticas y provocó una mayor extensión del troyano Flaskback.

En este caso no se trata de un virus pero la vulnerabilidad en un sistema de cifrado que precisamente busca protección máxima de acceso a datos, sigue mostrando que la plataforma no es infalible.