macOS 10.13 & 10.13.1: Passwörter verschlüsselter APFS-Volumen sind einsehbar
Nutzer von macOS 10.13 High Sierra sehen sich aktuell einem erhöhten Sicherheitsrisiko ausgesetzt: Ältere Versionen dieser Hauptversion speichern Passwörter verschlüsselter APFS-Laufwerke, die mit dem Festplattendienstprogramm erstellt wurden, in einer Log-Datei im Klartext ab. Dort lassen sie sich einsehen.
Zu diesem Schluss kommt die Forensikerin Sarah Edwards in ihrem Blog mac4n6. Sie konnte bei zwei verschlüsselten externen Laufwerken in den dazugehörigen System-Dateien unter macOS 10.13 und 10.13.1 entsprechende Passwörter wiederfinden. In den OS-Versionen ab 10.13.2 ließ sich das Verhalten jedoch nicht reproduzieren. Allem Anschein nach hat Apple die Lücke in den neueren Versionen bereinigt, das jedoch nicht dokumentiert und somit nicht den Nutzern mitgeteilt.
Backups als größte Gefahr
Grundlage für den Fehler bildet dabei anscheinend die undokumentierte Option „-S‟ des Tools newfs_apfs, welche das jeweilige Passwort im System-Log protokolliert. Diese Dateien werden zwar nach einer bestimmten Zeit vom System gelöscht, womit das Risiko eingrenzbar bleibt. Eine größere Gefahr geht laut Edwards jedoch von Backups aus, über die die Einträge in den Logs auch noch nach längerer Zeit abrufbar sind. Das Passwort könnte daraufhin verwendet werden, um auch in fehlerbereinigten Varianten von macOS auf demselben System das Laufwerk zu entschlüsseln. Daher sollten Nutzer ihre Sicherungen auf genannte Gefahren hin untersuchen. Um komplett sicher zu gehen empfiehlt Edwards, ein neues verschlüsseltes Laufwerk mit neuem Passwort unter macOS 10.13.2 oder 10.13.3 anzulegen und entsprechende Dateien auf dieses zu übertragen.
Nicht das erste Problem
Dieser Vorfall stellt nicht das erste Sicherheitsproblem rund um das mit macOS 10.13 neu eingeführte Dateisystem APFS von Apple dar: Bereits im Oktober des letzten Jahres wurde bekannt, dass das OS beim Anlegen eines zusätzlichen verschlüsselten APFS-Laufwerkes die eventuell eingegebene Merkhilfe mit dem Passwort überschreibt und daraufhin ebenfalls unverschlüsselt und somit im Klartext ablegt. Auch hier konnte als Schuldiger das bereits erwähnte Festplattendienstprogramm ausgemacht werden.