La compañía Apple hace frente a un fallo de seguridad relacionado con las contraseñas de los usuarios. Este fallo ha permitido que tras instalar la última actualización de Lion -la última versión del sistema operativo para Mac-, las contraseñas de inicio de sesión para Lion fuesen reveladas en texto sin cifrar. Este fallo afecta a los usuarios que tienen su ordenador cifrado con FileVault. Por el momento, Apple no ha realizado ningún tipo de comentario al respecto.
FileVault es el sistema de cifrado de Mac. Una vez activos, todos los archivos del ordenador quedan cifrados y solo son accesibles a través de una contraseña creada por el usuario. Cuando la persona accede a su ordenador, FileVault utiliza su contraseña para crear un «escritorio personal», de forma que el usuario pueda acceder a él como si este no estuviera cifrado.
Con la última actualización de Lion se activó una opción que hace que FileVault guarde la contraseña del usuario en el registro del sistema en texto plano, es decir, sin cifrar, y ese registro se mantiene sin borrar durante días, por lo que cualquier otro usuario puede tener acceso a la contraseña y por lo tanto al ordenador. Este fallo se descubrió por primera vez por el experto en seguridad David Emery, que aseguró que este error puede afectar específicamente a las empresas y además que también afecta a las copias de seguridad de Time Machine para unidades externas. Si el disco duro se sustrae no importa que las copias de seguridad requieren una clave para acceder a ellas. La copia de seguridad contiene la contraseña necesaria almacenada en texto sin cifrar.
La firma se enfrentó el pasado mes de abril a su primer problema de seguridad, más concretamente en sus ordenadores Mac. Los sistemas operativos de Apple, tanto de sobremesa como móviles, nuca habían experimentado este tipo de problemas, algo que influía en las ventas de sus dispositivos ya que los usuarios los consideraban como equipos donde las vulnerabilidades no existían. Sin embargo, un virus llamado Flashback consiguió poner fin a la buena fama y, por lo tanto, comprometer la seguridad de los usuarios de Mac.
Dicha vulnerabilidad aprovechaba un fallo en la versión de Java para Mac para penetrar en los sistemas. Apple se dio cuenta del incidente y el pasado 3 de abril lanzó una actualización de Java, pero no lo suficientemente rápido. La compañía tardó más de lo esperado y como consecuencia cientos de miles de equipos se infectaron.