Debug-Log verrät Filevault-Passwörter.
Debug-Log verrät Filevault-Passwörter. (Bild: Apple)

Sicherheitslücke Apple schreibt Filevault-Passwörter im Klartext auf Platte

Apple hat in die alte Version von Filevault zur Verschlüsselung persönlicher Daten in Mac OS X offenbar eine grobe Sicherheitslücke eingebaut, durch die das vom Nutzer verwendete Passwort im Klartext in einem unverschlüsselten Bereich auf der Festplatte landet.

Anzeige

Eigentlich soll die Funktion Filevault in Mac OS X die persönlichen Daten eines Nutzers durch Verschlüsselung vor unbefugtem Zugriff schützen, auch dann, wenn der Rechner in fremde Hände fällt. Mit der Veröffentlichung von Mac OS X 10.7 alias Lion hat Apple mit Filevault 2 eine neue Version dieser Verschlüsselung eingeführt, die in der Lage ist, die komplette Festplatte zu verschlüsseln. Die alte Version von Filevault wird weiterhin mitgeliefert und Nutzer, die Filevault schon zuvor genutzt haben, werden nicht automatisch auf die neue Version umgestellt.

Dem Sicherheitsforscher David Emery zufolge hat jemand bei Apple bei der aktuellen Version Mac OS X 10.7.3, die am 1. Februar 2012 veröffentlicht wurde, einen Debug-Schalter (DEBUGLOG) aktiviert gelassen, was dazu führt, dass ein systemweites Logfile im Klartext geschrieben wird, das für jeden Nutzer mit Root- oder Adminzugriff lesbar ist. Es enthält auch das Login-Passwort eines Nutzers eines verschlüsselten Verzeichnisbaums, wie ihn das alte Filevault nutzt.

Standardmäßig bleibt das Logfile für mehrere Wochen erhalten.

Das Logfile kann auch ausgelesen werden, wenn der Rechner von einer externen Firewire-Festplatte gebootet wird, so dass ein Angreifer, der physischen Zugriff auf ein System hat, kein Passwort benötigt.

Zudem betrifft die Sicherheitslücke auch Backups, die mit Apples Time Machine angelegt werden, denn dabei werden neben den verschlüsselten Containern auch die Logfiles gespeichert, die das Passwort im Klartext enthalten.

Abhilfe schafft laut Emery die Verschlüsselung der gesamten Festplatte mit Filevault 2. Zudem kann ein Firmware-Passwort gesetzt werden, ohne das nicht von einer externen Platte gebootet werden kann. Emery weist aber darauf hin, dass es dafür eine Umgehungsmethode gibt, die Apples Supportmitarbeiter nutzen.

Emil Protalinski weist in einem Blogeintrag bei ZDNet darauf hin, dass schon am 6. Februar ein Nutzer in Apples Supportforum auf den Fehler aufmerksam gemacht hat.


Der Supporter 09. Mai 2012

So, nun können alle wieder entspannen.

Der Supporter 07. Mai 2012

@Golem Die Aussage im Artikel: "Zudem betrifft die Sicherheitslücke auch Backups, die...

Der Supporter 07. Mai 2012

Alle Neu-Käufer von Macs mit vorinstalliertem Lion sind nicht betroffen. Wer also seinen...

Der Supporter 07. Mai 2012

Nein, aber in den Foren wird über den Fehler berichtet und die Lösung beschrieben. Werden...

Konfuzius Peng 07. Mai 2012

Im Gegensatz zu den ganzen Windoof Nutzern können die Appel Designfetischisten ihre...

Kommentieren



Anzeige

  1. User Experience Designer (m/w)
    über HRM CONSULTING GmbH, Ravensburg (Home-Office möglich)
  2. Automotive Testingenieur / Techniker (m/w)
    GIGATRONIK Stuttgart GmbH, Stuttgart
  3. Senior WEB-Entwickler (m/w)
    Bittner+Krull Softwaresysteme GmbH, München
  4. SAP System Engineer (m/w)
    Geberit Verwaltungs GmbH, Pfullendorf oder Jona (Schweiz)

Detailsuche


Blu-ray-Angebote
  1. Blu-rays je 6,97 EUR oder günstiger
    (u. a. Bad Country, Nirgendwo in Afrika, Elvis Presley, The Breed)
  2. Kingsman - The Secret Service [Blu-ray]
    11,99€
  3. Serien bis zu 40% reduziert
    (u. a. Vikings 1. Season 14,97€, Homeland 3. Season 17,97€, Fargo 1. Season 24,97€, American...

Weitere Angebote


Folgen Sie uns
       


  1. Ron Gilbert

    Monkey-Island-Miterfinder bittet Disney um Fortsetzung

  2. Firefox-Sicherheitslücken

    Angreifer hatte Zugriff auf Mozilla-Bugtracker

  3. Good Technology

    Blackberry kauft Konkurrenten für 425 Millionen US-Dollar

  4. Softwareentwicklung

    Rechtsstreit um Diebstahl geistigen Eigentums bei SAP

  5. Handel

    Online-Einkauf könnte komplizierter werden

  6. Die Woche im Video

    Redakteure im Standurlaub auf der Ifa

  7. Firmenchef

    Voice over LTE bei der Telekom "kommt später"

  8. Magnetfeld

    Die Smartwatch sendet Daten durch den Körper

  9. Film-Codecs

    Amazon gibt 500 Millionen Dollar für Startup aus

  10. Direkt zur CIA

    BND soll deutsche Telefonate in die USA geroutet haben



Haben wir etwas übersehen?

E-Mail an news@golem.de



Mate S im Hands On: Huawei präsentiert Smartphone mit Force-Touch-Display
Mate S im Hands On
Huawei präsentiert Smartphone mit Force-Touch-Display
  1. 100 MBit/s Telekom bietet ihren Hybridkunden höhere Datenraten
  2. Huawei G8 Neues Smartphone mit Fingerabdrucksensor für 400 Euro
  3. Mediapad M2 8.0 Huaweis neues 8-Zoll-Tablet im Metallgehäuse

Windows 10 im Upgrade-Test: Der Umstieg von Windows 7 auf 10 lohnt sich!
Windows 10 im Upgrade-Test
Der Umstieg von Windows 7 auf 10 lohnt sich!
  1. Microsoft Neuer Insider-Build von Windows 10
  2. Windows 10 Erfolgreicher als das angeblich erfolgreiche Windows 8
  3. Windows 10 Updates lassen sich unter Umständen 12 Monate aufschieben

Snowden-Dokumente: Die planmäßige Zerstörungswut des GCHQ
Snowden-Dokumente
Die planmäßige Zerstörungswut des GCHQ
  1. Macbooks IBM wechselt vom Lenovo Thinkpad zum Mac
  2. Liske Bitkom schließt Vorstandsmitglied im Streit aus
  3. IuK-Kommission Das Protokoll des Bundestags-Hacks

  1. Re: Totgeglaubte Leben länger?

    igor37 | 18:06

  2. Re: Magnetfeld?

    brainos | 17:57

  3. Re: in bar?

    HiddenX | 17:52

  4. Wie soll ich mir das vorstellen?

    HiddenX | 17:47

  5. Re: Und währenddessen bei O2

    elknipso | 17:12


  1. 14:35

  2. 13:32

  3. 13:26

  4. 12:30

  5. 11:29

  6. 09:04

  7. 19:42

  8. 18:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel