High-Sierra-Passwortlücke: Entwickler vermutet Copy+Paste-Fehler
Ein gravierendes Sicherheitsleck in seiner APFS-Verschlüsselungsroutine musste Apple mit einem Zusatz-Update schließen. Nun hat ein Developer sich den Bug etwas näher angesehen.
Knapp daneben: Das Passwort landet in der Merkhilfe.
(Bild: Mac & i)
Ein schwerwiegender Bug bei der Verschlüsselung von Volumes mit dem neuen Dateisystem APFS im Festplattendienstprogramm von macOS High Sierra könnte auf einen Flüchtigkeitsfehler der Apple-Entwickler zurückgehen. Davon geht der spanische Mac-Developer Daniel Martin aus, der die Änderungen in Apples außer der Reihe veröffentlichtem Notfallupdate mit der fehlerhaften früheren Version abgeglichen hat.
StorageKit enthält den Fehler
Martin fand heraus, dass der Bug, bei dem Passwörter im Klartext als Passworthinweis geschrieben wurden, nicht etwa im von Apple seit macOS El Captian umgestalteten Festplattendienstprogramm – das unter Profinutzern viele Kritiker hat – steckte, sondern in einem der zugehörigen privaten Frameworks. Konkret scheint der Fehler in StorageKit zu stecken, das aus einer Client-Library und einem Daemon besteht.
Der verantwortliche Entwickler scheint Probleme mit den Keys "kSKAPFSDiskPasswordOption" und "kSKAPFSDiskPasswordHintOption" gehabt zu haben, die Passwort respektive Passworthinweis enthalten. Die Passwort-Variable sei als Wert für beide Keys im Dictionary verwendet worden. Das Ergebnis: Das Passwort im Klartext wurde via XPC als Passworthinweis abgeschickt.
Kopiert und nicht verändert?
Der Mac-Developer glaubt, dass der Bug zu einer beliebten Fehlerkategorie gehört, bei denen eine häufig verwendete Programmstruktur kopiert und eingefügt wird, der Entwickler dann aber vergisst, die notwendigen Modifikationen vorzunehmen. Ergebnis sei eine "fatale Veränderung im Verhalten" des Codes. Mit anderen Worten: Apple wurde Opfer von Copy+Paste.
Es ist unklar, ob dies wirklich der Grund für den peinlichen Bug war. Als schlimmer kann bezeichnet werden, dass die Lücke erst in der öffentlichen Version von macOS High Sierra entdeckt wurde, nicht jedoch in Betavarianten oder Golden-Master-Release. Der Betatest lief seit Sommer, High Sierra erschien schließlich am 25. September. Ab wann der Bug eingeführt wurde, ist jedoch bislang nicht bekannt geworden. (bsc)
