macOS 10.13 legt Passwörter zu verschlüsselten APFS-Laufwerken im Klartext ab
Passwörter zu per Festplattendienstprogramm verschlüsselten APFS-Volumes können sich im Klartext in Logdateien finden, warnt eine Forensikerin. Apple hat den Fehler in neueren Versionen von High Sierra offenbar behoben – ohne auf das Problem hinzuweisen.
Ein weiterer gravierender Bug in Apples Festplattendienstprogramm von macOS 10.13 High Sierra kann Passwörter zu verschlüsselten APFS-Laufwerken verraten: Beim Anlegen eines verschlüsselten APFS-Volumes wird das Passwort nämlich im Klartext in einer Log-Datei des Systems verzeichnet, wie die Forensikerin Sarah Edwards bemerkte – dies sei zwar “unglaublich nützlich” aus forensischer Perspektive, aber vom Standpunkt der Sicherheit aus betrachtet “völlig entsetzlich”.
Anzeige
Apple hat Beseitigung der Schwachstelle nicht dokumentiert
Die Log-Datei führt das Passwort zum verschlüsselten APFS-Volume im Klartext auf.
(Bild: Sarah Edwards)
Das Festplattendienstprogramm ruft zur Verschlüsselung offenbar eine undokumentierte Option des Tools newfs_apfs auf, die das Passwort im Klartext umfasst – was wiederum im System-Log festgehalten wird.
Der Bug ist nach bisherigem Stand nur in macOS 10.13 sowie 10.13.1 präsent, aber nicht mehr in 10.13.2 und der aktuellen High-Sierra-Version 10.13.3.
Apple hat die Behebung des Fehlers bislang allerdings nicht in den Details zu beseitigten Sicherheitslücken dokumentiert. Insofern bleibt offen, ob das Problem gezielt behoben wurde, ohne Mac-Nutzer darüber zu informieren – oder aber nur zufällig durch andere Anpassungen gefixt wurde.
High Sierra zeigte Passwörter bereits als Merkhilfe an
Alte, archivierte Log-Dateien, in denen auch die Passwörter landen können, werden gewöhnlich nach einer bestimmten Zeit vom System automatisch gelöscht. Nutzer, die mit macOS 10.13.0 oder 10.13.1 verschlüsselte APFS-Laufwerke angelegt haben, sollten die möglicherweise auch im Rahmen eines Backups aufbewahrten Log-Dateien aber sicherheitshalber prüfen – oder neue verschlüsselte APFS-Volumes anlegen und die Daten darauf umziehen.
Anzeige
Der Bug scheint unabhängig von einem vorausgehenden Fehler im Festplattendienstprogramm, der das Passwort zu verschlüsselten APFS-Volumes einfach durch Anklicken der Merkhilfe preisgab – dies hat Apple schon mit einem “ergänzenden Update” wenige Tage nach der Freigabe von High Sierra ausgeräumt. Auch hier sollten Nutzer zuvor angelegte verschlüsselte APFS-Laufwerke nicht länger einsetzen, sondern die Daten in ein neues verschlüsseltes APFS-Volume übertragen, wie Apple in einem Support-Dokument betont.
(lbe)