Enquanto grande maioria das falhas de segurança exploradas com o OS X tenham origem em aplicativos de terceiros (alô Adobe Flash e Java), vez ou outra uma falha no próprio sistema é descoberta, para o desgosto de quem é fã da plataforma. Uma dessas falhas apareceu no final de semana e ela é consideravelmente séria: ela grava o login e senha de usuários em um arquivo de texto, completamente desprotegido.

A vulnerabilidade está restrita a algumas configurações específicas e foi relatada no começo do mês pelo pesquisador de segurança David Emery na lista Cryptome. Segundo ele, com a atualização 10.7.3 para o OS X a Apple ativou um log de debug para todo o sistema, que por algum motivo grava o login e senha dos usuários no próprio log, em texto puro. O pessoal do ZDNet acabou descobrindo que um usuário da Apple já havia relatado esse erro no fórum da empresa há meses.

Ao que parece, a vulnerabilidade atinge sistemas em que o usuário usava a criptografia FileVault no seu HD antes de atualizar para o OS X Lion, atualizou para o OS X Lion e não está usando o FileVault 2. Nessas configurações, os arquivos protegidos não estão tão protegidos assim.

A pior parte vem agora: esse log está em uma área desprotegida, que pode ser acessada por qualquer pessoa com login do Mac em questão. Ou pior ainda, conectando o HD do Mac via Firewire. O log é mantido por apenas algumas semanas, então quem atualizou na época em que o update 10.7.3 foi liberado provavelmente tem mais senhas armazenadas do que quem fez a atualização ontem apenas.

Agora que boa parte do mundo já sabe que essa falha existe, é bem provável que a Apple libere uma correção de segurança para tapar o buraco. Que não deveria estar lá para começar.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Rafael Silva

Rafael Silva

Ex-autor

Rafael Silva estudou Tecnologia de Redes de Computadores e mora em São Paulo. Como redator, produziu textos sobre smartphones, games, notícias e tecnologia, além de participar dos primeiros podcasts do Tecnoblog. Foi redator no B9 e atualmente é analista de redes sociais no Greenpeace, onde desenvolve estratégias de engajamento, produz roteiros e apresenta o podcast “As Árvores Somos Nozes”.

Canal Exclusivo

Relacionados

Apple libera OS X Lion e Mountain Lion de graça para Macs antigos
Apple libera OS X Lion e Mountain Lion de graça para Macs antigos
Como colocar senha nas Notas do iPhone e Mac
Como colocar senha nas Notas do iPhone e Mac
Como descobrir a senha do Wi-Fi em que você já está conectado
Como descobrir a senha do Wi-Fi em que você já está conectado
Como criar senhas seguras para aplicativos e sites
Como criar senhas seguras para aplicativos e sites
Como editar o arquivo hosts no Windows
Como editar o arquivo hosts no Windows
Como usar o Editor de Texto do macOS
Como usar o Editor de Texto do macOS
Como mudar a senha do Apple ID
Como mudar a senha do Apple ID
Como abrir arquivo .rar no Mac
Como abrir arquivo .rar no Mac
Como desbloquear um ID Apple
Como desbloquear um ID Apple
Como bloquear aplicativos no Android com AppLock
Como bloquear aplicativos no Android com AppLock