Apple no gana últimamente para problemas de seguridad. Esta vez no es un malware como ocurrió hace unas semanas, sino una vulnerabilidad que muestra en texto plano (sin ningún tipo de cifrado) las contraseñas de los usuarios de Lion que tienen sus directorios protegidos con FileVault.
FileVault es el sistema de cifrado de Mac: cuando lo activas, todos los archivos del directorio Home del usuario quedan cifrados, y sólo puedes acceder a ellos con tu contraseña de usuario. Para cualquier otro usuario del ordenador, tu directorio personal será totalmente inaccesible.
Cuando accedes a tu Mac, FileVault usa tu contraseña para montar tu directorio personal, de forma que puedas acceder a él como si no estuviese cifrado. El problema es que en la última actualización de Lion se activó un interruptor que hace que FileVault guarde tu contraseña de usuario en el registro del sistema en texto plano, registro que se mantiene sin borrar durante días.
¿Por qué esto es malo? El registro del sistema está fuera de tu directorio personal, por lo que no está cifrado. Entonces, cualquier persona que tenga acceso físico a tu ordenador puede ver tu contraseña y acceder a todos tus archivos. ¿Cómo? Montando el Mac como un disco FireWire o usando la consola de la partición de recuperación de Lion, podría acceder al sistema de ficheros y encontrar tu contraseña.
Como podéis ver, es un problema grave. Probablemente no te afecte a ti como usuario (no es común tener FileVault activado, y menos todavía perder tu ordenador), pero a usuarios empresariales sí les afecta, ya que en esos entornos es mucho más común tener todos los portátiles con sistemas de archivos cifrados.
Esta vulnerabilidad afecta a todos los usuarios que activaron FileVault en Mac OS X Snow Leopard o versiones anteriores. Si no lo activaste nunca, tu contraseña sigue segura. Si lo activaste usando Lion, tu contraseña se guarda en el mismo sitio, pero como desde Lion FileVault cifra el disco entero no es tan fácil acceder a ella.
De momento Apple no ha comentado nada sobre este tema ni liberado ninguna actualización, pero debería hacerlo rápido. Fallos como este minan la confianza en la seguridad de los sistemas Apple: ¿de qué te sirve cifrar tus archivos para que estén seguros en caso de robo si van a poder acceder a ellos por una vulnerabilidad?
Ver 42 comentarios
42 comentarios
60135
Por que en Applesfera no está este mismo artículo, creo que sería bueno que los usuarios de Apple (asiduos a ese blog) se enteren de ese fallo.
Pablo
Y ahora es cuando Apple tiene que dar la cara por sus usuarios. Ahora es cuando empiezan a sentir toda la presión con la que en su día tuvo que lidiar Microsoft. Y tendrán que trabajar muy duro para evitar que cosas como esta les pasen factura.
Son tiempos bonitos estos que vivimos.
kaman
¿que decian de windows? ah si, que tenia muchos agujeros. Menos mal que flash y Mac no tienen agujeros.
filem0n
Lo malo era cuando no se detectaban estos fallos y los usuarios de Apple tenían esa falsa sensación de seguridad.
dacotinho
Lo importante no es el fallo (gordo) en si, si no el tiempo que va a tardar la compañia en arreglarlo (y admitirlo).
Em otros casos (lease flasback) ha necesitado 2 parches y que otros les hicieran el trabajo primero.
zaiclop
Te alabamos y te veneramos Steve Jobs donde quiera que estés. Somos los fieles a Apple que negamos la existencia de troyanos y errores en nuestro sistema operativo.
aama-88
Por favor, no empecéis. Ya sabéis por dónde voy.
Por otro lado, como leí el otro día por aquí (o quizá en xatakandroid), ésto era cuestión de tiempo. En cuanto aumenta un poco el número de ordenadores con un SO pues aumenta las probabilidades de que quieran infectarlo, o de que sea vulnerable como en este caso, no es que Apple ahora sea lo peor y descuide nada... creo yo. Por cierto, Guillermo, gracias por dar las ideas xD:
dacotinho
Lo peor del tema y segun he leido en ZDnet
http://www.zdnet.com/blog/apple/when-will-apple-patch-the-lion-flaw-that-stores-passwords-in-clear-text/12885
es que el fallo habia sido descubierto y publicado en los propios foros de soporte de Apple ¡hace 3 meses!
The worst part? The bug was also mentioned on the Apple Support Communities exactly three months ago and was never addressed.
Como en ocasiones anteriores, la filosofia de la compañia es callar, silenciar y ver hacia otro lado.
dibabdet
De verdad que cansa ver a los "ultradefensores" y a los "ultradetractores" de Apple. Los primeros, que todo lo de la manzanita es lo mejor, no quieren otra cosa, desprecian Windows y son incapaces de comprar tecnología de otras marcas o ver cómo otros no compran Apple; y los segundos que si Apple es caro, que la mitad de hardware que con Windows y el doble de precio, que si no les importa la seguridad... De verdad, cuánta chorrada. Microsoft y Apple tienen productos que compiten y tienen, ambos, defectos y virtudes. Cada cual que elija el que más le guste. Yo utilizo Apple, llevo 5 años con un imac sin problemas, pero sigo usando Windows en el trabajo y soy perfectamente capaz de valorar por ejemplo una tablet y comprarme una Samsung (u otras marcas como Woxter) en vez de dejarme 600 euros en un ipad. Y no pasa nada. Y veo los avances de Linux y sus ventajas, y también lo uso en portátiles antiguos y lo veo en ordenadores de otras personas y me parece genial. Ya está bien de defender a muerte una marca, que todas pretenden vendernos sus productos.
Exia
Ya llegaron los fanboys diciendo que 'mi SO es mejor que el tuyo, así que te callas'. Todos los SO son vulnerables en la medida que exista cuota de mercado (usuarios) para ser infectados o vulnerados.
Espero que Apple de una solución pronto a este problema.
109730
creo que los mac, van a tener que bajar de precio como esto siga asi
Meteoro
Entonces, con Apple no hace falta darse el trabajo de desarrollar un malware, ellos por si mismos te muestran la información sensible que necesites. Tu solo tienes que beneficiarte de ella, perjudicando a los pobres usuarios.