Una de las tareas que se suele realizar cuando alguien fortifica su sistema Mac OS X es la de restringir quién tiene acceso a los secretos guardados en los llaveros (Keychains). En este caso, en el ejemplo que os vamos a poner, decidimos que se debía bloquear el llavero automáticamente y por lo tanto pedir confirmación cuando un servicio intentase acceder a determinadas contraseñas del sistema, para ver cómo es la respuesta obtenida en Mac OS X, y el resultado es bastante poco aceptable.
El resultado obtenido fue que, efectivamente, los servicios del sistema empezaron a solicitar el acceso a los distintos secretos almacenados en el keychain, pero la información que ofrecen para que se les confirme el acceso es bastante poco y totalmente insuficiente para proteger a un usuario contra un software malicioso.
Figura 2: El servicio librariand quiere acceder a mi llavero |
Como se puede ver en los mensajes, la información que se tiene es solo del nombre del programa, y este suele ser bastante críptico para los usuarios menos avanzados.
Figura 3: El servicio syncdefaultsd también quiere mi llavero |
Además, no hay forma de comprobar la firma digital del mismo ni tan siquiera de acceder a un pedazo de texto informativo que de alguna pista más sobre como verificar que ese servicio es quién dice ser.
Figura 4: El servicio ubd también quiere acceder al llavero |
El único botón que hay de ayuda lleva a un tema generico sobre los servicios que bien se podían haber ahorrado en este caso.
No hay comentarios:
Publicar un comentario