Sicherheitslücke: macOS High Sierra zeigt Passwörter verschlüsselter APFS-Volumes im Klartext (2. Update)

05. Okt. 2017 17:45 Uhr - Redaktion

Im neuen Betriebssystem macOS High Sierra ist eine Schwachstelle aufgespürt worden, durch die das Kennwort von verschlüsselten APFS-Laufwerken als Klartext im Merkhilfefeld dargestellt wird. Er tritt auf, wenn zum APFS-Startlaufwerk nachträglich ein verschlüsseltes APFS-Volume hinzugefügt und eine Merkhilfe festgelegt wird.

 

 

Nach dem Mounten dieses Volumes erscheint der Passworteingabe-Dialog. Wird darin der Merkhilfe-Button angeklickt, zeigt macOS High Sierra statt der Merkhilfe das Kennwort im Klartext an. Der Entwickler Matheus Mariano hat dies mit einem Video (eingebettet in diesem Artikel) dokumentiert. Nach Angaben des Entwicklers Felix Schwarz steckt der Fehler im Festplattendienstprogramm und tritt nur dann auf, wenn eine Merkhilfe eingegeben wird. Bei der Erzeugung eines verschlüsselten APFS-Volumes mit dem Terminal besteht die beschriebene Problematik nicht.

Von Apple liegt zwar noch keine Stellungnahme vor, es ist aber davon auszugehen, dass die Sicherheitslücke mit dem für Ende Oktober erwarteten Betriebssystemupdate macOS 10.13.1 geschlossen wird. Das neue Dateisystem APFS hat mit dem Bug nichts zu tun, die Ursache liegt ausschließlich im Festplattendienstprogramm. MacGadget konnte die Schwachstelle erfolgreich reproduzieren.

Nachtrag (18:00 Uhr): Wir haben zudem Tests mit einem USB-Stick durchgeführt. Bei einem per Festplattendienstprogramm mit APFS verschlüsselten USB-Stick tritt das Problem nicht auf. Fügt man zu diesem Stick jedoch ein weiteres, verschlüsseltes APFS-Volume hinzu, wird dessen Kennwort im Merkhilfefeld angezeigt. Die Schwachstelle betrifft also offenbar nur verschlüsselte Container, die nachträglich zu einem bestehenden APFS-Volume hinzugefügt werden und nicht Laufwerke an sich. Bei der Weitergabe eines verschlüsselten APFS-Laufwerks ohne nachträglich hinzugefügten APFS-Container besteht demzufolge keine Sicherheitsgefährdung.

2. Nachtrag (19:30 Uhr): Apple hat die Sicherheitslücke mit einem Update geschlossen.