È chiaro che si tratta di un errore involontario, ma quello che è emerso nelle ultime ore ha dell'inquietante. Dopo l'ultimo aggiornamento di Mac OS X Lion, alla versione 10.7.3, salva le password di autenticazione in chiaro in un file facilmente accedibile come superuser.
Vediamo in cosa consiste questa grave vulnerabilità.
David Emery, un'esperto di sicurezza, ha scoperto che con ogni probabilità uno degli programmatori Apple ha lasciato attiva una funzione di debug del sistema operativo, utilizzata durante lo sviluppo, che salva su un file in chiaro le credenziali di accesso.
Questo file non viene criptato e quindi è facilmente reperibile, spiega come lo stesso David Emery
È peggio di quello che sembra, dal momento che il log in questione può anche essere letto avviando la macchina in modalità disco firewire e leggendolo come un disco o avviando la partizione di ripristino di Lion e usando la shell di superuser per montare la partizione del file system principale e leggendo il file. Questo permette di entrare nella partizione criptata sulle macchine senza dover conoscere alcuna password per farlo.
Mentre stiamo scrivendo Apple non ha ancora rilasciato alcuna patch per risolvere questa grave vulnerabilità.