Logo von heise online

Suche
Ronald Eikenberg 206

Mac OS X speichert Klartext-Passwort neben verschlüsselten Daten

Wer von älteren Mac-OS-Versionen auf das aktuelle Lion (10.7.3) umgestiegen ist und weiterhin die alte FileVault-Verschlüsselung der Vorgängersysteme nutzt, hat unter Umständen ein Problem: Offenbar haben die Apple-Entwickler mit dem Update auf 10.7.3 im Februar dieses Jahres eine Debug-Option aktiviert, die dafür sorgt, dass die Klartext-Passwörter von FileVault-Nutzern beim Mounten der verschlüsselten Ordner in einer Log-Datei landen. Dies berichtet der Sicherheitsexperte David I. Emery auf einer Security-Mailingliste.

Anzeige

Der Antivirenspezialist Sophos weist darauf hin, dass es nur Anwender betrifft, die ein Upgrade von Snow Leopard auf Lion durchgeführt haben; das mit Lion eingeführte und standardmäßig aktive FileVault 2 ist nach bisherigem Kenntnisstand nicht betroffen.

Auf die Log-Datei, die mehrere Wochen erhalten bleibt, haben zwar eigentlich nur Admins Zugriff. Wer das System jedoch im Firewire-Disk-Mode als Festplatte an einem anderen Rechner ausliest oder die Superuser-Shell der Recovery-Partition nutzt, kann die Log-Datei problemlos auslesen. Laut Emery enthalten unverschlüsselte TimeMachine-Backups neben dem FileVault-Container auch die ungeschützten Passwörter.

Einem Nutzer des Apple-Supportforum ist dieses Problem bereits im Februar dieses Jahres aufgefallen, allerdings wurde er nicht erhört: Seine Supportanfrage wurde bis vor kurzem weder von Apple noch von anderen Nutzern des Forums kommentiert.

Schützen kann man sich, indem man auf FileVault 2 migriert. Das Setzen eines Firmware-Passwort schützt hingegen nicht vollständig: Zwar wird dadurch ein weiteres Passwort abgefragt, bevor man das System booten oder im Firewire-Disk-Mode betreiben kann, allerdings kennt laut Emery zumindest Apple einen Weg, dies zu umgehen.


Hinter dem roten Balken befindet sich das Nutzerpasswort im Klartext. Vergrößern
Update: Offenbar sind auch Nutzer betroffen, die ihr Benutzerverzeichnis von einer Netzwerkfreigabe mounten. Dies geht sowohl aus einem Beitrag im Novell-Forum als auch aus der ursprünglichen Fehlerbeschreibung im Apple-Supportforum hervor. Demnach befindet sich der Fehler im HomeDirMounter, der sowohl das Einhängen der FileVault-Verzeichnisse als auch der Nuterverzeichnisse auf AFP-Freigaben übernimmt. In der Beta von 10.7.4 tritt dieses Problem laut einem Anwenderbericht nicht mehr auf, sodass man davon ausgehen kann, dass Apple den Fehler bereits behoben hat.

Die entsprechende Log-Datei findet man in beiden Fällen unter /var/log/secure.log. Unklar ist derzeit noch, wo sich die Passwörter in den unverschlüsselten TimeMachine-Backups befinden sollen; die entsprechende Log-Datei wird von TimeMachine anscheinend nicht mitgesichert.

Update 2: heise Security konnte das Problem inzwischen nachvollziehen. Bei der Anmeldung an einem AFP-Server wird das Klartext-Passwort lokal im System Log gespeichert. (rei)

206 Kommentare

Themen:

Anzeige
  1. Stilles Apple-Update kappt Ethernet-Verbindungen

    Ein iMac

    Eine Sicherheitsaktualisierung, die unter OS X im Hintergrund installiert wird, sorgt für Probleme bei der Nutzung drahtgebundener Netze auf iMacs und MacBook-Pro-Maschinen. Doch es gibt einen Fix.

  2. Admin-Oberfläche Froxlor verrät Datenbank-Passwörter

    Gefährliche Schwachstelle in Froxlor

    Das Server-Management-Panel Froxlor ist verwundbar und Angreifer können unter Umständen das Datenbank-Passwort aus der Ferne auslesen. Eine gefixte Version ist aber noch nicht für alle Linux-Distributionen verfügbar.

  3. OS X: Creative-Cloud-Installer löscht Dateien – Adobe zieht zurück

    OS X: Creative-Cloud-Installer löscht Dateien ? Adobe zieht zurück

    Version 3.5.0.206 des Kreativpakets mit Photoshop, Premiere und Co. kann auf dem Mac bei Installation zu Datenverlusten führen. Der Hersteller zog jetzt die Notbremse.

  4. iCloud Drive: Bug kann zu Datenverlust führen

    iCloud Drive

    Das Verschieben eines Ordners aus iCloud Drive kann unter bestimmten Umständen dazu führen, dass die enthaltenen Dateien von Apples Servern gelöscht werden, obwohl sie noch nicht lokal vorliegen.

  1. Meinung: Andauernder Murks in Mac OS X

    Meinung: Murks in Mac OS X

    Das Betriebssystem von Apple soll, so sagt es die Legende, besonders stabil und zuverlässig sein. Dafür kostet ein Mac auch etwas mehr. Umso schlimmer ist es, dass Apple schwere Bugs in Mac OS X seit Jahren nicht in den Griff bekommt.

  2. Kernel-Log – Was 3.17 bringt (3): Treiber

    Der Linux-Kernel unterstützt 4K-Monitore und moderne Radeon-Chips besser. Thunderbolt soll nun auch bei Apple-Systemen funktionieren. Der Rauswurf von mehr als einem Dutzend Treibern dürfte den Codeumfang von 3.17 gegenüber seinen Vorgängern verkleinern.

  3. Kernel-Log – Was 3.17 bringt (2): Infrastruktur

    Der Kernel bietet nun Funktionen zur effizienteren Interprozess-Kommunikation. Ein neuer Mechanismus zur Abfrage von Zufallszahlen beseitigt zwei Probleme, die zu schwacher Kryptographie führen können.

  1. iPhone 6: Berichte über Touchscreen-Probleme und Display-Ausfälle

    iPhone 6 Plus: Berichte über Touchscreen-Probleme und Display-Ausfälle

    Knapp zwei Jahre nach dem "Bendgate" kann es zu konstruktionsbedingten Spätfolgen bei der iPhone-Generation von 2014 kommen. Das große Plus-Modell ist besonders betroffen.

  2. Richterin: Fitbit hat keine Geschäftsgeheimnisse geklaut

    Fitbit

    Die Hersteller von Fitness-Trackern, Fitbit und Jawbone, liefern sich seit mehreren Monaten einen erbitterten Streit. Zum einen wurden Patentrechtsverletzungen beklagt, zum anderen soll Fitbit gezielt Jawbone-Mitarbeiter für Interna abgeworben haben.

  3. Aktivisten in Vietnam wegen kritischen Kommentaren im Internet verurteilt

    Aktivisten in Vietnam wegen Internet-Kritik verurteilt

    Zwei junge Männer wurden in Vietnam zu zwei und drei Jahren Haft verurteilt, weil sie die Regierung in sozialen Medien kritisiert haben sollen.

  4. NSA-Exploit ExtraBacon soll deutlich mehr Cisco-Firewalls bedrohen

    Netzwerkkabel

    Untersuchungen von Sicherheitsforschern legen nahe, dass auch neuere Version der Cisco Adaptive Security Appliance (ASA) angreifbar sind.

Anzeige