Не знаю, хто саме назвав Lion «найбільш захищеної ОС у світі», але він явно лукавив, так як днями в системі була знайдена дуже велика вразливість, що дозволяє користувачам змінювати пароль від облікових записів на одному комп’ютері, навіть не володіючи адміністраторськими привілеями.

Паролі облікових записів OS X зберігаються в зашифрованому вигляді в спеціальних файлах. Стосовно них діє загальна система дозволів, тому вміст цих файлів (в даному випадку — пароль) може бути змінено лише певним користувачем чи адміністратором системи.

На жаль, останні дослідження безпеки Lion показали, що на практиці будь-який юзер може без особливих зусиль змінити пароль облікового запису на комп’ютері, причому, для цього навіть не потрібно авторизовуватись від імені адміністратора.

Зробити це можна за допомогою ось такої нехитрої команди в Терміналі, замінивши USERNAME на короткий ім’я користувача:

dscl localhost -passwd /Search/Users/USERNAME

Після запуску цієї команди з’явиться помилка, але якщо ви використовуєте один і той же пароль після появи всіх запитів, то саме він буде встановлений для цього облікового запису. Подальші дії передбачити не так вже й складно, адже зловмисник, змінивши дані администрата, зможе отримати повний доступ до системи.

На щастя, у цієї проблеми є кілька обмежень:

  • По-перше, хакер повинен мати доступ до локальних облікових записів в системі або ж фізичний доступ до комп’ютера з залогіненним користувачем.
  • По-друге, зловмиснику необхідний доступ до Directory Services (наприклад, через той же самий Термінал). Без цього доступу зробити нічого не вийде.

Чим загрожує дана уразливість? Скажімо так, якщо у комп’ютера один користувач, який є одночасно і його власником, то швидше за все хвилюватися не варто. Але якщо вашим Маком користуються і інші люди (причому, не завжди ваші знайомі), варто «оберегтися» за методом CNet.

Для початку слід зайти в Системні установки > Захист і безпеку > Загальні авторизуватися (натиснути на застібка у лівому нижньому куті вікна) і поставити ось ці галочки:

Природно, відключення автоматичного логіна в систему і показ вікна входу після пробудження або припинення роботи скрінсейвера може позначитися на зручності користування комп’ютером, але так ви зумієте значно знизити шанс несанкціонованого доступу до Маку.

Після цього потрібно вимкнути гостьову запис і включити Батьківський Контроль для всіх облікових записів в системі, паралельно заблокувавши програми, що мають доступ до Directory Services (Terminal, X11 для Xterm — навпроти них не потрібно ставити галочку).

За наявними відомостями, Apple вже знає про проблему, тому виправлення може вийти як у складі OS X Lion 10.7.2, так і у вигляді окремого апдейта, доступного через системну утиліту «Оновлення ПЗ (Software Update).