• Tweet

Apple ha confirmado un problema de seguridad que, en muchas situaciones, permitiría que alguien con acceso físico a una computadora Macintosh, obtuviera acceso a la contraseña de la cuenta de usuario activa.

La vulnerabilidad se debe a un error de programación al almacenar la contraseña de la cuenta en la memoria de la computadora mucho tiempo después de ser necesitada, lo que significa que puede ser utilizada para iniciar una sesión en la computadora y suplantar la identidad del usuario.

"Este es un problema real y necesita ser corregido", dijo Jacob Appelbaum, un programador de San Francisco que descubrió la vulnerabilidad y la reportó a Apple. Dijo estar en desacuerdo con la respuesta de la compañía: "No lo pusieron en la última actualización de seguridad ni liberaron una actualización de seguridad solo para este problema".

Appelbaum es parte del equipo de investigadores que publicaron un artículo de ataques de "arranque en frío" la semana pasada describiendo las vulnerabilidades no resueltas con sistemas de archivos cifrados, incluyendo el FileVault de Apple, BitLocker de Windows Vista, y varios de código abierto.

A diferencia de las preocupaciones de seguridad reportadas la semana pasada, esta vulnerabilidad es específica para OS X y de mayor preocupación porque ofrece - al menos para la configuración predeterminada de OS X - acceso completo a las contraseñas almacenadas en el Llavero, que pueden incluir contraseñas de redes inalámbricas, sitios Web, cuentas de acceso vía SSH, volúmenes montados por red, entre otras.

Anuj Nayar, vocero de Apple dijo: "Estamos conscientes de esta vulnerabilidad explotable localmente y estamos trabajando para solucionarla en una futura actualización de seguridad. Si bien ningún sistema operativo puede ser 100 por ciento inmune, Apple tiene una gran trayectoria en solucionar potenciales vulnerabilidades antes de que afecten a los usuarios".

El problema de seguridad funciona así: El subsistema de OS X que pide el nombre de usuario y contraseña para iniciar sesión en una cuenta llamado loginwindow.app, es razonablemente bueno. En la configuración predeterminada, la contraseña de la cuenta desbloquea el llavero del usuario y cifra el volumen FileVault (si está en uso).

Pero en lugar de borrar inmediatamente la contraseña de la memoria, una vez que el proceso de descifrado está completo, OS X la mantiene. Lo que significa que alguien con acceso físico a la computadora puede usar varios métodos para extraer el contenido de los chips DRAM de la computadora.

En el artículo de la semana pasada se describen algunas de esas técnicas, que incluyeron: conectar un iPod en el puerto Firewire para extraer el contenido de la memoria, reiniciar la computadora y ejecutar un extractor de memoria a través de la red o desde un dispositivo extraible, o físicamenre extraer los chips DRAM e insertarlos en otra computadora. (Establecer una contraseña en el firmware puede proteger contra la amenaza de ataque por reinicio)

Apagando la computadora y esperando un minuto o mas, lo protege de este ataque al dar tiempo de drenar el contenido de la DRAM.

Aunque es posible que la contraseña permanezca en RAM aun después de que el usuario cierra su sesión - lo cual es aún mas peligroso - Applebaum no ha probado esa teoria.