Enquanto grande maioria das falhas de segurança exploradas com o OS X tenham origem em aplicativos de terceiros (alô Adobe Flash e Java), vez ou outra uma falha no próprio sistema é descoberta, para o desgosto de quem é fã da plataforma. Uma dessas falhas apareceu no final de semana e ela é consideravelmente séria: ela grava o login e senha de usuários em um arquivo de texto, completamente desprotegido.
A vulnerabilidade está restrita a algumas configurações específicas e foi relatada no começo do mês pelo pesquisador de segurança David Emery na lista Cryptome. Segundo ele, com a atualização 10.7.3 para o OS X a Apple ativou um log de debug para todo o sistema, que por algum motivo grava o login e senha dos usuários no próprio log, em texto puro. O pessoal do ZDNet acabou descobrindo que um usuário da Apple já havia relatado esse erro no fórum da empresa há meses.
Ao que parece, a vulnerabilidade atinge sistemas em que o usuário usava a criptografia FileVault no seu HD antes de atualizar para o OS X Lion, atualizou para o OS X Lion e não está usando o FileVault 2. Nessas configurações, os arquivos protegidos não estão tão protegidos assim.
A pior parte vem agora: esse log está em uma área desprotegida, que pode ser acessada por qualquer pessoa com login do Mac em questão. Ou pior ainda, conectando o HD do Mac via Firewire. O log é mantido por apenas algumas semanas, então quem atualizou na época em que o update 10.7.3 foi liberado provavelmente tem mais senhas armazenadas do que quem fez a atualização ontem apenas.
Agora que boa parte do mundo já sabe que essa falha existe, é bem provável que a Apple libere uma correção de segurança para tapar o buraco. Que não deveria estar lá para começar.
Assine pelo iTunes
Assine pelo Feed
Instagram
YouTube
Puuuuuuuutz!
Fail FORTE.
Todo desenvolvedor sabe que não se deve gravar senhas em logs!
Menos esse estagiário (apenas suposição) que fez essa cagada no Mac OS X…
#applefail
#applefail ou #iFail ?
Vish, pois é! acontece nas melhores famílias rs
Pois é, a Apple só libera correção depois que boa parte do mundo sabe… se não, estão nem aí…
@garibeirobr É mesmooooooo????? Não digaa…….
oi ?
UIA!! Assim, de cara limpa??? Mas que ideia de jerico foi a do programador que implementou isso, heim?
Jaz aqui a invulnerabilidade do OSX
Nenhum sistema é impenetravel.
Não era o que era dito pelo usuários do OSX e pela Apple.
Nunca houve invulnerabilidade do Mac OS X. Aliás, todos os profissionais da área de segurança sabem que o Mac é uma colcha de retalhos cheia de vazamentos e especialmente vulnerável a crackers competentes.
É questão de tempo até o ecossistema da Apple ser invadido. A principal razão pela qual ele tem sido poupado até agora é a dificuldade dos script kiddies em encontrar programinhas na internet que burlem o sistema de permissões do Unix.
Está para nascer um sistema invulnerável.
Just works.
E pensar que eu já tive vontade de ter um desses…
Se Steve Jobs tivesse lá, já teria demitido metade dos programadores.
FanBoys da Apple rolando no chão e espumando pela boca agora. kkkkkkkkkkk
que coisa maravilhosa! daqui a pouco libera atualização e fica de boa.
Noobs.
Engraçado, esse negócio de acessar senha através do DMA da porta firewire em arquivo texto já foi noticiado muito tempo atrás pelo San Picciarelli quando estava no Meio Bit. Será que é a mesma coisa?
Na época, era razoavelmente simples se proteger. Agora não sei, sou alcançável através da internet?
Coitado do Lion…
Um leitor do meu blog postou uma matéria sobre isso: Cadê o sistema perfeito Apple?
http://www.cooperati.com.br/wordpress/2012/05/04/cade-o-sistema-perfeito-apple/
Eu sei que não tem nada a ver, mas eu li uma reportagem interessante falando que o OS X é mais vuneravel que o Windows. Isso por que a quantidade de macs no mercado é pouca em relação ao Windows, e quanto mais gente usando um sistema, melhor para se dar golpes nele. O cara ainda falou que a Microsoft esta anos a frente da Apple em relação a segurança. E agora?? Faz sentido, mas é verdade? Eu não entendo PN de segurança em SO. Mas que faz sentido faz.
Foi o CEO da Kaspersky que disse “A Apple está 10 anos atrasada comparada a Microsoft em relação a segurança”. Segundo alguns comentários de pessoas que dizem que entendem de segurança, é verdade.
Sem fanboynismo, mas quem concordou com ele? Acho que a Apple carece de agilidade e maturidade para corrigir falhas em seus produtos, mas em relação ao SO em si parece-me bem seguro pelo sandboxing, regra de acesso Posix certificado para sistemas Unix, Kerberos…
De todos esses “vírus” de Android e Mac OS X, esse é o primeiro que realmente não exige ajuda do usuário. De resto, tudo reclamação a toa de fanboys, nada que seja relevante para um usuário avançado.
No final, parece que todo mundo acha que o mundo deve ser um iOS da vida.
Como eu disse eu não entendo muito de protocolos de segurança de SO, mas não faz sentido o que o cara falou? Se voce fosse um hacker, cracker, ou sei la mais o que existe por ai, voce prefere se esforçar para quebrar a segurança de um SO utilizado por, sei la, milhões de usuários, ou para um com milhares(só para medir)? Faz sentido não?
Concordo plenamente, mas ele é bem popular até. Em alguns contadores de trafico da internet, o uso de OS X ultrapassa 10%.
Eu realmente fico perdido nesses discursos sobre segurança no OS X e Android, dentre os malwares noticiados para essas plataformas nenhum me motiva a deixar um antivirus rodando 24 horas por dia para garantir minha segurança. Tenho backup e não guardo informações cruciais no meu disco.
Veja que, 10 anos atrás, estamos falando de Windows XP. Era impossível sobreviver com aquele SO na internet sem um bom antivírus. Bastava se conectar e os vírus já eram baixados pelo Windows Update (!).
Se o Mac for realmente vulnerável, eu acho que vale a pena utilizar um antivírus mesmo que ainda não tenha ocorrido nenhum caso grave ainda. Se for balela de vendedor de antivirus, fico do jeito que estou até que apareça algo realmente assustador.
Como digo, acho que é exagero de ambos lados. Usuários dizendo que é invulnerável e outros dizendo que é um lixo.
Outra, se eu fosse um hacker como Geohot, prefereria muito mais quebrar o Mac OS X do que fazer algo para Windows que já foi derrubado algumas vezes. Tem algo melhor que ser o primeiro a derrubar o sistema operacional “mais avançado” do mundo?
O ser humano e o seu ego maior que o planeta. hehehe.
@Luandersonn
Claro, o que move um true-hacker é o desafio. Ninguém melhor que a Sony para explicar isso.
O difícil é ir contra um mestre em segurança, obviamente não entendo nada de segurança, mas é difícil não acreditar, acho que ele fala em relação a rapidez de correção de vulnerabilidades. OSX continua sendo seguro, claro.
O que ele fez foi exatamente reduzir segurança à resposta de ação a um ataque, isso é um erro grave em QUALQUER ambiente, tipo, hoje a resposta de ação à um atentado terrorista no Iraque é mais rápida que a resposta da Holanda, isso faz do Iraque um país menos vulnerável à ataques terroristas e melhor para se viver?
Mac <3
Exatamente, mas isso é grave, porque quando os ataques acontecem, o estrago é grande, já que a correção é tardia.
Não amo o Mac
Quando acontece, não; talvez quando acontecer! Até hoje backdoors que afetaram grande número de usuários causaram danos indiretos à terceiros, não ao usuário
É foi ele mesmo…
Agora me diz, qual o interesse do CEO da Kaspersky? Ganhar um mercado que ele e nem 90% das empresas de anti-vírus tem criando pânico nos usuários. Não me convenceu.
Também pensei nessa possibilidade, mas as soluções de proteção da empresa para Mac são gratuitas.
It’s a feature.
Poucos usuários de macs mundo afora ou não, o fato é que, desde que deixei de lado o Windows em 2008 nunca mais voltei a ele ( minha única frustração com relação ao Mac é ele não rodar o Microsoft Train Simulator ), por uma razão muito simples: nada de antivirus aqui, o sistema operacional é reconhecidamente mais bonito e mais fácil de usar que o Windows. Não dá realmente para comparar a elegancia do Mac OS com o Windows ( qualquer que seja ele XP, Vista, Seven ou agora o 8 que está mais esquisito que todos os outros juntos, na verdade. ). Não sou fã boy da Apple ( longe de mim tal idéia, até porque já passei da idade de cultuar pessoas ou instituições e a Apple assim como seu sistema tem muitas falhas, o Lion está aí pra provar isso ), mas sem dúvida, numa comparação limpa Windows/Mac OS, ganha o Mac OS.
Não sou fanboy mas uso Safari e uma foto de avatar do OSX.
kkkkkkkkkkkkkkkkk
Yangm mandou bem
kkkkkkkk
No windows sempre usei IE. Nunca passava por minha cabeça usar outro navegador ( embora eu tivesse usado esporadicamente o Deepnet. ). Detesto o Firefox, acho o Chrome uma tolice e o Opera me dá preguiça. O Safari preenche minhas necessidades de navegação tranquilamente, além de ser muito elegante – e acho que os dois sabem disso. Quanto ao uso do leão da montanha, é apenas a impolgação do momento de estar testando o Mountain Lion, nada mais que isso. Adorava o XP e o Tiger. Estou apaixonado pelo Mountain Lion e decepcionado com a Apple. Não entendi como, antes mesmo de completar o ciclo “natural” do Lion, ela já lança outro sistema operacional. Como já comentei aqui, só pode ser uma admissão inconfessada de que o Lion, foi o Vista da Apple realmente…Pronto, agora diz que eu sou fã boy…
no lugar de “impolgação” ( credo!! ) leia-se “empolgação”…
Deixa de ser recatado, ter bom gosto não é vergonhoso
O Safari para Windows é assim, só que ao contrário. Como todo software da Apple feito para windows.
Cara, você estava defendendo um software com unhas e dentes… só fanboy faz issso. Isso sem falar que usar a foto do sistema como avatar é marca registrada dos fanboys.
Se não for fanboy é dumbuser, e como dumbuser não tem tanta capacidade para escrever textos desse tamanho continuo tendo a mesma opinião: você é fanboy.
Software da @pple para windows é um lixo,mas isso era de se esperar dessa empresa de Cupertino.
Isso não é falha, é burrice e das brabas.
Na verdade é mais um descaso, pois só afeta usuários que migraram para o Lion à partir do Snow Leopard, usavam nele o FileVault, não migraram para o 2 e instalaram a última atualização, ou seja: é bem reduzido… como o FV2 faz agora criptografia de todo disco, aposto que ninguém lembrou desse cenário durante o desenvolvimento da atualização (que tem várias fazes de teste na Apple e por desenvolvedores).
*fases
Muita gente fala, fala, fala e queria ter um Mac ehhehe.
Pode até ser verdade, mas você está falando por si mesmo. O Mac é bonzinho, mas não é nem metade do que dizem dele. Muita gente migrou do XP, Vista ou até mesmo o W7 Starter/Home Basic e, por isso, acha a interface do Mac genial. Quem migra do Ubuntu ou do W7 Pro/Ultimate não costuma ter a mesma opinião.
Que isso amiguinho?!! Passei por todos esses Windows ( e ainda tenho o Ubuntu em maquina virtual ) não da pra comparar com o Mac OS de jeito nenhum.
A falha realmente existe, mas não como relatada, dando a entender que acontece “do nada”.
Nenhum sistema é impenetrável, nem mesmo o Mac OS X, porém uma coisa é fato, o sistema de permissões de um Unix, por mais engessado que possa parecer, é muito simples, porém funciona.
Tem quem ache que resetar uma senha no Linux é moleza, porque tudo fica simplesmente em um arquivo. (/etc/passwd e /etc/shadow) e basta um LiveCD. O grande dilema é: Dá pra fazer? Sim e é muito simples de fato, MAS (sempre tem um mas) vc tem que ter acesso físico a maquina pra poder fazer, ou como o post sugere, ligar o HD via Firewire, dar o Boot pelo CD, dar 3 pulinhos com o dedinho do pé esquerdo com uma fita vermelha e por aí vai… Coisa tosca, né? Tendo acesso físico a maquina tudo é possível, agora explorar remotamente (isso o Windows é fera!) é completamente diferente.
Estão doidos para provar que o Mac é pior/melhor/igual ao Windows. Eles só esquecem que ali por baixo da capa bonita roda um Unix, que funciona como um unix. Sistema que já provou por diversas vezes que é bom, funcional, simples e a depender do ponto de vista, “seguro”.
Bom, pra ter acesso a senha do usuário é simples, acesso físico a maquina você já tem, basta agora TER a senha de administrador e o pulo do gato, a SUA maquina tem que estar em um domínio! Isso mesmo, em um domínio! No exemplo dado o sujeito tem um domínio com o Mac OS X Server Snow Leopard (10.6) usando o OpenDirectory para login dos usuários do domínio.
Então a questão é: É um BUG? Sim. É crítico? Sim. Será que vai afetar muita gente? Resposta complicada, se vc conhecer alguém que tenha um Mac OS X num domínio, esse cara poderá ser afetado. Isso é uma desculpa? Não, porque com certeza existe gente que se encaixa no perfil e não deve tolerar esse tipo de coisa, mas é como falei lá acima, mesmo inserido neste contexto, o cara ainda tem que ter a senha de administrador da máquina!! WTF? Será que os Admins da rede vão revelar a senha?
No mais, pra quem usa a máquina fora do domínio (99% dos usuários), a senha não aparece.
A falha realmente existe, mas não como relatada. Dando a entender que TODOS os usuários estão expostos.
Nenhum sistema é impenetrável, nem mesmo o Mac OS X, porém uma coisa é fato, o sistema de permissões de um Unix, por mais engessado que possa parecer, é muito simples, porém funciona.
Tem quem ache que resetar uma senha no Linux é moleza, porque tudo fica simplesmente em um arquivo. (/etc/passwd e /etc/shadow) bastando ter em mãos um LiveCD. O grande dilema é: Dá pra fazer? Sim e é muito simples de fato, MAS (sempre tem um mas) vc tem que ter acesso físico a maquina pra poder fazer, ou como o post sugere, ligar o HD via Firewire, dar o Boot pelo CD, dar 3 pulinhos com o dedinho do pé esquerdo com uma fita vermelha e por aí vai… Coisa tosca, né? Tendo acesso físico a maquina tudo é possível, agora explorar remotamente (isso o Windows é fera!) é completamente diferente.
Estão doidos para provar que o Mac é pior/melhor/igual ao Windows. Eles só esquecem que ali por baixo da capa bonita roda um Unix, que funciona como um unix. Sistema que já provou por diversas vezes que é bom, funcional, simples e a depender do ponto de vista, “seguro”.
Bom, pra ter acesso a senha do usuário é simples, acesso físico a maquina você já tem, basta agora TER a senha de administrador e o pulo do gato, a SUA maquina tem que estar em um domínio! Isso mesmo, em um domínio! No exemplo dado o sujeito tem um domínio com o Mac OS X Server Snow Leopard (10.6) usando o OpenDirectory para login dos usuários do domínio.
Então a questão é: É um BUG? Sim. É crítico? Sim. Será que vai afetar muita gente? Resposta complicada, se vc conhecer alguém que tenha um Mac OS X num domínio, esse cara poderá ser afetado. Isso é uma desculpa? Não, porque com certeza existe gente que se encaixa no perfil e não deve tolerar esse tipo de coisa, mas é como falei lá acima, mesmo inserido neste contexto, o cara ainda tem que ter a senha de administrador da máquina!! WTF? Será que os Admins da rede vão revelar a senha de administrador da máquina?
No mais, pra quem usa a máquina fora do domínio (99% dos usuários), a senha não aparece.