Il nuovo sistema operativo di Apple ha un grave buco di sicurezza

Il sito Defence in Depth, dedicato alla sicurezza informatica, ha pubblicato la descrizione di una grave vulnerabilità di Lion, il nuovo sistema operativo di Apple in circolazione da un mese. L’autore spiega come dall’applicazione Terminale (trascurata dalla maggior parte degli utenti, ma usata da quelli più esperti per modificare comandi e funzioni del sistema) si possa accedere a diverse informazioni relative all’account dell’Amministratore del computer e anche cambiare la sua password di accesso, senza nessun filtro né dover inserire alcuna password (il Post ha verificato ripetendo l’operazione ed è esattamente così) .

Il comando da Terminale con cui inserire la nuova password è molto semplice

dscl localhost -passwd /Search/Users/tiziocaio

(dove “tiziocaio” è il nome dell’utente amministratore)

A questo punto l’utente occasionale ha accesso da amministratore al computer con una sua password. Il “bug” potrebbe sembrare solo relativamente grave, visto che l’utente in questione aveva già accesso al computer (ma non avendone i privilegi di amministratore e quindi possibilità di modifiche limitate). Anche se, per fare un esempio, un vostro collega che abbia un momentaneo accesso al vostro computer può intervenire, cambiare la password e appena voi lo spegnete sicuri di avere permesso l’accesso in vostra assenza solo tramite password, potervi accedere in totale libertà.
Ma il procedimento può essere potenzialmente – secondo l’articolo – applicato anche da un virus o da un’applicazione esterna che così otterrebbe i privilegi di amministratore al computer, per poterne fare qualunque cosa (il sito CNet ha più dubbi su questa possibilità).
Lo stesso sito ha scoperto anche che simili comandi da terminale permettono comunque di visualizzare alcune stringhe collegate alle password esistenti, quanto basta per ulteriori interventi e manipolazioni.

Defence in Depth suggerisce, come cautela temporanea, di limitare l’accesso da terminale alla funzione usata, con un comando che vi consigliamo di usare solo se sapete cosa state facendo.

sudo chmod 100 /usr/bin/dscl

CNet consiglia invece di disabilitare il login automatico all’avvio del computer (facendo sì che la password sia sempre richiesta e quindi un estraneo non possa accedere al Terminale se il computer è spento) e di attivare la richiesta di password anche dopo l’attivazione del salvaschermo o l’inattività del Mac. Secondo consiglio: disabilitare l'”account ospite” nelle Preferenze di Sistema (“Utenti e Gruppi”).
Fino a che – ed è immaginabile avvenga molto rapidamente – Apple non rilasci un aggiornamento che affronta e tappa il buco.