Menü
Mac & i

macOS 10.13 legt Passwörter zu verschlüsselten APFS-Laufwerken im Klartext ab

Passwörter zu per Festplattendienstprogramm verschlüsselten APFS-Volumes können sich im Klartext in Logdateien finden, warnt eine Forensikerin. Apple hat den Fehler in neueren Versionen von High Sierra offenbar behoben – ohne auf das Problem hinzuweisen.

vorlesen Drucken Kommentare lesen 84 Beiträge

Ein weiterer gravierender Bug in Apples Festplattendienstprogramm von macOS 10.13 High Sierra kann Passwörter zu verschlüsselten APFS-Laufwerken verraten: Beim Anlegen eines verschlüsselten APFS-Volumes wird das Passwort nämlich im Klartext in einer Log-Datei des Systems verzeichnet, wie die Forensikerin Sarah Edwards bemerkte – dies sei zwar “unglaublich nützlich” aus forensischer Perspektive, aber vom Standpunkt der Sicherheit aus betrachtet “völlig entsetzlich”.

Das Festplattendienstprogramm ruft zur Verschlüsselung offenbar eine undokumentierte Option des Tools newfs_apfs auf, die das Passwort im Klartext umfasst – was wiederum im System-Log festgehalten wird.

Der Bug ist nach bisherigem Stand nur in macOS 10.13 sowie 10.13.1 präsent, aber nicht mehr in 10.13.2 und der aktuellen High-Sierra-Version 10.13.3.

Apple hat die Behebung des Fehlers bislang allerdings nicht in den Details zu beseitigten Sicherheitslücken dokumentiert. Insofern bleibt offen, ob das Problem gezielt behoben wurde, ohne Mac-Nutzer darüber zu informieren – oder aber nur zufällig durch andere Anpassungen gefixt wurde.

Alte, archivierte Log-Dateien, in denen auch die Passwörter landen können, werden gewöhnlich nach einer bestimmten Zeit vom System automatisch gelöscht. Nutzer, die mit macOS 10.13.0 oder 10.13.1 verschlüsselte APFS-Laufwerke angelegt haben, sollten die möglicherweise auch im Rahmen eines Backups aufbewahrten Log-Dateien aber sicherheitshalber prüfen – oder neue verschlüsselte APFS-Volumes anlegen und die Daten darauf umziehen.

Der Bug scheint unabhängig von einem vorausgehenden Fehler im Festplattendienstprogramm, der das Passwort zu verschlüsselten APFS-Volumes einfach durch Anklicken der Merkhilfe preisgab – dies hat Apple schon mit einem “ergänzenden Update” wenige Tage nach der Freigabe von High Sierra ausgeräumt. Auch hier sollten Nutzer zuvor angelegte verschlüsselte APFS-Laufwerke nicht länger einsetzen, sondern die Daten in ein neues verschlüsseltes APFS-Volume übertragen, wie Apple in einem Support-Dokument betont. (lbe)