Logo von heise online

Suche
206

Mac OS X speichert Klartext-Passwort neben verschlüsselten Daten

Wer von älteren Mac-OS-Versionen auf das aktuelle Lion (10.7.3) umgestiegen ist und weiterhin die alte FileVault-Verschlüsselung der Vorgängersysteme nutzt, hat unter Umständen ein Problem: Offenbar haben die Apple-Entwickler mit dem Update auf 10.7.3 im Februar dieses Jahres eine Debug-Option aktiviert, die dafür sorgt, dass die Klartext-Passwörter von FileVault-Nutzern beim Mounten der verschlüsselten Ordner in einer Log-Datei landen. Dies berichtet der Sicherheitsexperte David I. Emery auf einer Security-Mailingliste.

Anzeige

Der Antivirenspezialist Sophos weist darauf hin, dass es nur Anwender betrifft, die ein Upgrade von Snow Leopard auf Lion durchgeführt haben; das mit Lion eingeführte und standardmäßig aktive FileVault 2 ist nach bisherigem Kenntnisstand nicht betroffen.

Auf die Log-Datei, die mehrere Wochen erhalten bleibt, haben zwar eigentlich nur Admins Zugriff. Wer das System jedoch im Firewire-Disk-Mode als Festplatte an einem anderen Rechner ausliest oder die Superuser-Shell der Recovery-Partition nutzt, kann die Log-Datei problemlos auslesen. Laut Emery enthalten unverschlüsselte TimeMachine-Backups neben dem FileVault-Container auch die ungeschützten Passwörter.

Einem Nutzer des Apple-Supportforum ist dieses Problem bereits im Februar dieses Jahres aufgefallen, allerdings wurde er nicht erhört: Seine Supportanfrage wurde bis vor kurzem weder von Apple noch von anderen Nutzern des Forums kommentiert.

Schützen kann man sich, indem man auf FileVault 2 migriert. Das Setzen eines Firmware-Passwort schützt hingegen nicht vollständig: Zwar wird dadurch ein weiteres Passwort abgefragt, bevor man das System booten oder im Firewire-Disk-Mode betreiben kann, allerdings kennt laut Emery zumindest Apple einen Weg, dies zu umgehen.


Hinter dem roten Balken befindet sich das Nutzerpasswort im Klartext. Vergrößern
Update: Offenbar sind auch Nutzer betroffen, die ihr Benutzerverzeichnis von einer Netzwerkfreigabe mounten. Dies geht sowohl aus einem Beitrag im Novell-Forum als auch aus der ursprünglichen Fehlerbeschreibung im Apple-Supportforum hervor. Demnach befindet sich der Fehler im HomeDirMounter, der sowohl das Einhängen der FileVault-Verzeichnisse als auch der Nuterverzeichnisse auf AFP-Freigaben übernimmt. In der Beta von 10.7.4 tritt dieses Problem laut einem Anwenderbericht nicht mehr auf, sodass man davon ausgehen kann, dass Apple den Fehler bereits behoben hat.

Die entsprechende Log-Datei findet man in beiden Fällen unter /var/log/secure.log. Unklar ist derzeit noch, wo sich die Passwörter in den unverschlüsselten TimeMachine-Backups befinden sollen; die entsprechende Log-Datei wird von TimeMachine anscheinend nicht mitgesichert.

Update 2: heise Security konnte das Problem inzwischen nachvollziehen. Bei der Anmeldung an einem AFP-Server wird das Klartext-Passwort lokal im System Log gespeichert. (rei)

206 Kommentare

Themen:

  1. Skype: Keine Unterstützung mehr für Mac OS X 10.5.8 und älter

    Hersteller

    Künftig muss man mindestens einen Intel-Mac mit OS X 10.6 haben, um den Kommunikationsdienst zu nutzen. Die Microsoft-Tochter hatte dies bereits angedroht.

  2. "Rootpipe": Rechteausweitung für OS X 10.10 gibt Admin-Accounts direkt Root

    Ein Fehler, der offenbar mindestens in OS X 10.10 und 10.8.5 steckt, gibt lokalen Nutzern ohne Passworteingabe Super-User-Rechte. Was genau dahinter steckt, ist noch unklar.

  3. Apple gibt OS X 10.9.5 frei

    Screenshot via MacRumors

    Nach iOS 8 hat Apple in der Nacht zum Donnerstag auch seine vermutlich letzte Version von OS X Mavericks zum Download bereitgestellt. Das Update behebt Fehler und fixt Sicherheitslücken. Auch eine Security-Aktualisierung für den Vorgänger steht bereit.

  1. Meinung: Andauernder Murks in Mac OS X

    Meinung: Murks in Mac OS X

    Das Betriebssystem von Apple soll, so sagt es die Legende, besonders stabil und zuverlässig sein. Dafür kostet ein Mac auch etwas mehr. Umso schlimmer ist es, dass Apple schwere Bugs in Mac OS X seit Jahren nicht in den Griff bekommt.

  2. Lions Full Disk Encryption analysiert

    Forscher dokumentieren erstmals Apples proprietäre Komplettverschlüsselung FileVault 2 und untersuchen sie auf mögliche Schwachstellen. Als Nebenprodukt haben sie frei verfügbare Tools entwickelt.

  3. Die Neuerungen von Linux 3.6

    Der Kernel 3.6 beherrscht hybriden Schlaf, kann PCIe-Chips die Stromzufuhr abklemmen und bringt ein neues Framework für Userspace-Treiber. Dazu kommen verbesserte Netzwerkfunktionen, Quota- und Backup-Funktionen für Btrfs und neue Treiber.

  1. African Queen 2

    Honda, Zweirad

    Der Honda Africa Twin eilt ein legendärer Ruf voraus. Sie wurde konzipiert, um auch abseits befestigter Wege lange Distanzen halbwegs komfortabel überbrücken zu können. Zwischen 1988 und 2004 hatte sie einen treuen Fankreis. Nun kommt endlich eine Neuauflage

  2. Der Sauberwürfel

    Kia Soul EV

    Ein Ausfahrt mit dem Kia Soul zeigt: Er ist bei nüchterner Betrachtung eins der am besten gemachten Elektroautos auf dem Markt. In sich harmonisch, sparsam und qualitativ hochwertig. Dazu kommt ein erstklassiges Preis-Leistungsverhältnis

  3. Spar-Exot

    Skoda Octavia

    Kein Skoda Octavia lässt sich so preiswert bewegen wie der mit Erdgas. Doch hierzulande greift kaum einer zu. Die Gründe dafür sind auf den ersten Blick nicht ersichtlich, auf den zweiten schon, wobei die Verantwortlichen für die Infrastruktur und der Hersteller nicht ganz unschuldig sind

  4. Einfacher möbliert

    Fahrbericht: VW California  Beach

    Der VW California, ein Minimalcamper mit Aufstelldach auf Basis des neuen Transporters T6 liegt voll im Trend der Faszination des mobilen Urlaubs. Wir wollten wissen, ob man mit dem einfacher möblierten Einstiegsmodell Beach schöne Ferientage verbringen kann

Anzeige