macOS w podpowiedzi ujawniał hasła do zaszyfrowanych wolumenów
Nowy macOS 10.13 High Sierra przekonuje, że w dziedziniebezpieczeństwa Apple musi się jeszcze wiele nauczyć. Tuż przedupubliczenieniem finalnej wersji były haker NSA Patrick Wardlezaprezentował lukę0-day, pozwalającą aplikacjom wykraść hasła i inne wrażliwedane z systemowego pęku kluczy. Teraz brazylijski programistaMatheus Mariano ujawnił kolejną dramatyczną podatność,stawiającą pod znakiem zapytania całą architekturębezpieczeństwa systemu plików. Okazuje się, że macOS zamiastpodpowiedzi ujawnia samo hasło do zaszyfrowanych wolumenów APFS.
06.10.2017 | aktual.: 10.10.2017 11:51
Jedną z najważniejszych nowości w macOS-ie High Sierra jestwprowadzenie nowoczesnego systemu plików APFS, który zastąpiłpamiętający jeszcze lata 90 HFS+ jako domyślny system plików dladysków SSD i innych półprzewodnikowych pamięci masowych.Przyniósł on liczne zaawansowane funkcjonalności, wyższąwydajność, oraz szyfrowanie całodyskowe, z opcjonalnym wsparciemdla trybu wielu kluczy, gdzie każdy plik jest szyfrowany innymkluczem, podobnie jak i metadane.
Mariano odkrył zagrożenie problem podczas korzystania znarzędzia Disk Utility w macOS High Sierra, chcąc dodać nowyzaszyfrowany wolumen APFS do kontenera. Podczas dodawania nowegowolumenu został przez system poproszony o ustawienie hasła ipodanie opcjonalnej podpowiedzi – na wypadek gdyby hasłazapomniał.
New macOS High Sierra vulnerability
Montując tak zaszyfrowany dysk do systemu, zostaniemy poproszeniprzez macOS-a o wprowadzenie tego właśnie hasła. System oferujejednak też w oknie dialogowym przycisk „Pokaż wskazówkę”. Jejkliknięcie… wyświetla ustawione dla wolumenu hasło.
Fatalny błąd, bo wyświetlono hasło zamiast podpowiedzi? Wcalenie. Fatalnym błędem jest to, że w ogóle hasło do systemu plikówzostało w ogóle zachowane. Apple powinno przyjrzeć się temu, jaknp. działa linuksowydm-crypt, podstawowy mechanizm szyfrowania dyskowego na Linuksie.
Wczoraj wydana została poprawka do macOS-a, wrazz biuletynem wyjaśniającym, co trzeba zrobić, aby właściwiezabezpieczyć szyfrowany wolumen APFS. Miejmy nadzieję, że toostatni tej wagi błąd w macOS-ie.