Debug-Log verrät Filevault-Passwörter.
Debug-Log verrät Filevault-Passwörter. (Bild: Apple)

Sicherheitslücke Apple schreibt Filevault-Passwörter im Klartext auf Platte

Apple hat in die alte Version von Filevault zur Verschlüsselung persönlicher Daten in Mac OS X offenbar eine grobe Sicherheitslücke eingebaut, durch die das vom Nutzer verwendete Passwort im Klartext in einem unverschlüsselten Bereich auf der Festplatte landet.

Anzeige

Eigentlich soll die Funktion Filevault in Mac OS X die persönlichen Daten eines Nutzers durch Verschlüsselung vor unbefugtem Zugriff schützen, auch dann, wenn der Rechner in fremde Hände fällt. Mit der Veröffentlichung von Mac OS X 10.7 alias Lion hat Apple mit Filevault 2 eine neue Version dieser Verschlüsselung eingeführt, die in der Lage ist, die komplette Festplatte zu verschlüsseln. Die alte Version von Filevault wird weiterhin mitgeliefert und Nutzer, die Filevault schon zuvor genutzt haben, werden nicht automatisch auf die neue Version umgestellt.

Dem Sicherheitsforscher David Emery zufolge hat jemand bei Apple bei der aktuellen Version Mac OS X 10.7.3, die am 1. Februar 2012 veröffentlicht wurde, einen Debug-Schalter (DEBUGLOG) aktiviert gelassen, was dazu führt, dass ein systemweites Logfile im Klartext geschrieben wird, das für jeden Nutzer mit Root- oder Adminzugriff lesbar ist. Es enthält auch das Login-Passwort eines Nutzers eines verschlüsselten Verzeichnisbaums, wie ihn das alte Filevault nutzt.

Standardmäßig bleibt das Logfile für mehrere Wochen erhalten.

Das Logfile kann auch ausgelesen werden, wenn der Rechner von einer externen Firewire-Festplatte gebootet wird, so dass ein Angreifer, der physischen Zugriff auf ein System hat, kein Passwort benötigt.

Zudem betrifft die Sicherheitslücke auch Backups, die mit Apples Time Machine angelegt werden, denn dabei werden neben den verschlüsselten Containern auch die Logfiles gespeichert, die das Passwort im Klartext enthalten.

Abhilfe schafft laut Emery die Verschlüsselung der gesamten Festplatte mit Filevault 2. Zudem kann ein Firmware-Passwort gesetzt werden, ohne das nicht von einer externen Platte gebootet werden kann. Emery weist aber darauf hin, dass es dafür eine Umgehungsmethode gibt, die Apples Supportmitarbeiter nutzen.

Emil Protalinski weist in einem Blogeintrag bei ZDNet darauf hin, dass schon am 6. Februar ein Nutzer in Apples Supportforum auf den Fehler aufmerksam gemacht hat.


Der Supporter 09. Mai 2012

So, nun können alle wieder entspannen.

Der Supporter 07. Mai 2012

@Golem Die Aussage im Artikel: "Zudem betrifft die Sicherheitslücke auch Backups, die...

Der Supporter 07. Mai 2012

Alle Neu-Käufer von Macs mit vorinstalliertem Lion sind nicht betroffen. Wer also seinen...

Der Supporter 07. Mai 2012

Nein, aber in den Foren wird über den Fehler berichtet und die Lösung beschrieben. Werden...

Konfuzius Peng 07. Mai 2012

Im Gegensatz zu den ganzen Windoof Nutzern können die Appel Designfetischisten ihre...

Kommentieren



Anzeige

  1. Interne IT- und Operations-Mitarbeiter (m/w)
    ATIX AG, Unterschleißheim
  2. IT-Koordinator/in für Shared-Service-Prozesse im Finanzwesen
    Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Mitarbeiter (m/w) Support Helpdesk
    netvico GmbH, Stuttgart
  4. Telematic Liaison Manager (m/w)
    Robert Bosch GmbH, Stuttgart-Vaihingen

 

Detailsuche


Hardware-Angebote
  1. GeForce GTX 980 Ti
    ab 739,00€
  2. TIPP: Raspberry Pi 2 Model B
    41,49€
  3. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)

 

Weitere Angebote


Folgen Sie uns
       


  1. Anna's Quest im Test

    Mit Telekinese gegen die böse Hexe

  2. Österreich

    Provider müssen illegale Filmportale sperren

  3. Snapdragon 810 v2.1

    Oneplus' Two nutzt verbesserte Chipsoftware

  4. Musik-Streaming-Dienste

    Apple Music klingt wie alle anderen

  5. Play Store

    Google senkt Preis des Nexus 6 auf 420 Euro

  6. Apple

    Jailbreak für iOS 8.4 ist da

  7. Wikileaks

    NSA spionierte deutsche Minister und Spitzenbeamte aus

  8. VW

    Tödlicher Arbeitsunfall mit einem Roboter

  9. Roddenberry 360°

    Star-Trek-Macher starten Plattform für 360-Grad-Unterhaltung

  10. Herzensangelegenheit

    Editor der Unity-Engine kommt für Linux



Haben wir etwas übersehen?

E-Mail an news@golem.de



Kingdom Come Deliverance: Der Mittelalter-Simulator
Kingdom Come Deliverance
Der Mittelalter-Simulator
  1. Star Citizen Das Paralleluniversum aus der Einkaufsmeile

Anno 2205 angespielt: Brückenbau und Mondbesiedlung
Anno 2205 angespielt
Brückenbau und Mondbesiedlung
  1. E3-Tagesrückblick im Video Crytek, Virtual Reality und ehrenhafte Krieger
  2. Ubisoft Blue Byte schickt Anno 2205 auf den Mond

Linux Mint 17.2 im Test: Desktops ohne Schnickschack, aber mit Langzeitunterstützung
Linux Mint 17.2 im Test
Desktops ohne Schnickschack, aber mit Langzeitunterstützung
  1. Fedora 22 im Test Das Ende der Experimentierphase
  2. Linux Mint Cinnamon 2.6 verringert CPU-Last deutlich
  3. Linux-Distributionen im Test Rosa Desktop Fresh kooperiert mit aktueller Hardware

  1. Re: Programmierer sind selbst schuld

    spiderbit | 14:31

  2. Re: NA TOLL

    sebastian4699 | 14:30

  3. Re: iTunes Match Funktionalität

    coass | 14:30

  4. Re: Das OLG HH und die Wahrheit

    freddypad | 14:29

  5. Re: Google Play Music Falschdarstellung?

    sha (Golem.de) | 14:29


  1. 14:00

  2. 12:56

  3. 12:25

  4. 12:03

  5. 11:58

  6. 11:21

  7. 11:19

  8. 11:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel