Przejdź na

macOS w podpowiedzi ujawniał hasła do zaszyfrowanych wolumenów

Nowy macOS 10.13 High Sierra przekonuje, że w dziedziniebezpieczeństwa Apple musi się jeszcze wiele nauczyć. Tuż przedupubliczenieniem finalnej wersji były haker NSA Patrick Wardlezaprezentował lukę0-day, pozwalającą aplikacjom wykraść hasła i inne wrażliwedane z systemowego pęku kluczy. Teraz brazylijski programistaMatheus Mariano ujawnił kolejną dramatyczną podatność,stawiającą pod znakiem zapytania całą architekturębezpieczeństwa systemu plików. Okazuje się, że macOS zamiastpodpowiedzi ujawnia samo hasło do zaszyfrowanych wolumenów APFS.

Obraz
Adam Golański

Jedną z najważniejszych nowości w macOS-ie High Sierra jestwprowadzenie nowoczesnego systemu plików APFS, który zastąpiłpamiętający jeszcze lata 90 HFS+ jako domyślny system plików dladysków SSD i innych półprzewodnikowych pamięci masowych.Przyniósł on liczne zaawansowane funkcjonalności, wyższąwydajność, oraz szyfrowanie całodyskowe, z opcjonalnym wsparciemdla trybu wielu kluczy, gdzie każdy plik jest szyfrowany innymkluczem, podobnie jak i metadane.

Mariano odkrył zagrożenie problem podczas korzystania znarzędzia Disk Utility w macOS High Sierra, chcąc dodać nowyzaszyfrowany wolumen APFS do kontenera. Podczas dodawania nowegowolumenu został przez system poproszony o ustawienie hasła ipodanie opcjonalnej podpowiedzi – na wypadek gdyby hasłazapomniał.

New macOS High Sierra vulnerability

Montując tak zaszyfrowany dysk do systemu, zostaniemy poproszeniprzez macOS-a o wprowadzenie tego właśnie hasła. System oferujejednak też w oknie dialogowym przycisk „Pokaż wskazówkę”. Jejkliknięcie… wyświetla ustawione dla wolumenu hasło.

Fatalny błąd, bo wyświetlono hasło zamiast podpowiedzi? Wcalenie. Fatalnym błędem jest to, że w ogóle hasło do systemu plikówzostało w ogóle zachowane. Apple powinno przyjrzeć się temu, jaknp. działa linuksowydm-crypt, podstawowy mechanizm szyfrowania dyskowego na Linuksie.

Wczoraj wydana została poprawka do macOS-a, wrazz biuletynem wyjaśniającym, co trzeba zrobić, aby właściwiezabezpieczyć szyfrowany wolumen APFS. Miejmy nadzieję, że toostatni tej wagi błąd w macOS-ie.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟