Conecta con nosotros

Noticias

Las contraseñas de Mac OS X Lion, fácilmente vulnerables con acceso local

Publicado el

Mac-OS-X-Lion11

En Mac OS X las contraseñas de usuario se cifran en las llamadas «shadow files» y se almacenan en lugares seguros del disco duro. Según los permisos del sistema, solo pueden ser accedidas y modificadas por el mismo usuario que las creó, además del propio administrador del sistema. Ésta es la teoría, que no la práctica, según acaba de hacer público el especialista en seguridad informática Patrick Dunstan. Al menos en lo que se refiere a la última versión del sistema operativo de Apple, Mac OS X Lion.

Mac-OS-X-Lion11

MS Recomienda

¿Virtualizas en tu empresa? ¡Participa en nuestro estudio y cuéntanos tu secreto! Leer
¿Sabes cómo modernizar tu arquitectura de análisis de datos? Leer
Seis estrategias para simplificar la integración de datos Acceder

Los recientes descubrimientos del citado Dunstan dejan en entredicho la estructura de seguridad e la que hace gala Mac OS X Lion, y es que cualquier usuario del sistema puede modificar las contraseñas de otras cuentas locales con bastante facilidad. Al parecer, Apple ha cambiado el procedimiento de autenticación, el cual presenta una error que habilita a los usuarios comunes -no es necesario ser administrador- para leer el hash de las contraseñas de los «shadow files» a través de los servicios de directorio.

Usando las sumas de verificación, un atacante puede conseguir la contraseña original con un ataque de fuerza bruta, aunque el tiempo para su consecución dependerá del nivel de la clave (como siempre, a mayor número de digitos, mayor seguridad). De hecho, el propio Dunstan ha publicado un script en Python para llevar a cabo ese ataque, solo como muestra de que es posible.

Como indican en The H Security, no es una vulnerabilidad que le debe preocupar mucho al usuario de a pie, ya que debe haber contacto físico con el ordenador para poder conseguir el obejtivo. Sin embargo, en sistemas multiusuario si es una falla importante de seguridad a tener en cuenta, ya que tras una acción exitosa, el usuario no podría acceder a sus propias contraseñas.

Lo más leído